PT-2021-2941 · Oracle · Oracle Financial Services Analytical Applications Infrastructure
Damian Bury
·
Publicado
2021-04-22
·
Atualizado
2021-04-24
·
CVE-2021-2140
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle Financial Services Analytical Applications Infrastructure, versões 8.0.6 a 8.1.0
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Rules Framework. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa a Oracle Financial Services Analytical Applications Infrastructure. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Isso pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados.
Recomendações
Para as versões 8.0.6 a 8.1.0, considere restringir o acesso ao componente Rules Framework para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP à infraestrutura afetada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Financial Services Analytical Applications Infrastructure