PT-2021-7131 · Oracle · Oracle Flexcube Universal Banking
Publicado
2021-07-20
·
Atualizado
2021-07-22
·
CVE-2021-2324
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Oracle FLEXCUBE Universal Banking, versões 12.0 a 12.4
Oracle FLEXCUBE Universal Banking, versões 14.0 a 14.4
Descrição
O problema está relacionado à validação insuficiente de entradas no subcomponente “Loans And Deposits” do Oracle FLEXCUBE Universal Banking, parte do Oracle Financial Services Applications. Isso permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o sistema, exigindo a interação humana de alguém que não seja o próprio invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso de leitura não autorizado a um subconjunto dos dados.
Recomendações
Para as versões 12.0 a 12.4 do Oracle FLEXCUBE Universal Banking, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 14.0 a 14.4 do Oracle FLEXCUBE Universal Banking, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao subcomponente Empréstimos e Depósitos até que um patch esteja disponível.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Flexcube Universal Banking