CVE-2021-2152

Oracle Business Intelligence Enterprise Edition versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0

O problema está relacionado à validação insuficiente de entradas no componente Analytics Web General. Isso permite que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o Oracle Business Intelligence Enterprise Edition; no entanto, para que os ataques sejam bem-sucedidos, é necessária a interação humana de uma pessoa que não seja o invasor. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Business Intelligence Enterprise Edition, bem como acesso não autorizado para leitura de um subconjunto desses dados.

Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Analytics Web General até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar as solicitações HTTP para minimizar o risco de exploração.

Restrinja o acesso a dados confidenciais para minimizar o impacto de um possível acesso não autorizado.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.