CVE-2021-2396

Oracle BI Publisher, versões 5.5.0.0.0 a 12.2.1.4.0

O problema está relacionado à validação insuficiente de entradas no componente E-Business Suite - XDO do Oracle BI Publisher, parte da plataforma Oracle Fusion Middleware. Isso pode ser explorado por um invasor remoto para executar código arbitrário e obter controle total sobre o aplicativo via protocolo HTTP. A vulnerabilidade pode ser facilmente explorada por um invasor com privilégios limitados que tenha acesso à rede.

Para as versões 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 e 12.2.1.4.0, considere desativar o UpdateConnectionServlet até que um patch esteja disponível para evitar possíveis ataques de injeção JNDI e execução remota de código.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.