PT-2021-2914 · Oracle · Oracle E-Business Suite+1
Publicado
2021-04-22
·
Atualizado
2021-04-28
·
CVE-2021-2239
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Oracle E-Business Suite, versões 12.1.1 a 12.1.3
Oracle E-Business Suite, versões 12.2.3 a 12.2.10
Descrição
O problema está relacionado a erros no código de um subcomponente do Oracle E-Business Suite, especificamente no produto Time and Labor, que podem ser explorados por um invasor remoto para obter acesso não autorizado ao dispositivo por meio de solicitações HTTP. Isso pode resultar na criação, exclusão ou modificação não autorizada de dados críticos. O invasor pode comprometer o Oracle Time and Labor com privilégios baixos e acesso à rede.
Recomendações
Para as versões 12.1.1 a 12.1.3, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 12.2.3 a 12.2.10, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao componente Timecard até que um patch esteja disponível.
Evite usar solicitações HTTP para acessar dados confidenciais no produto Oracle Time and Labor afetado até que o problema seja resolvido.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle E-Business Suite
Oracle Time/Labor