PT-2022-2196 · Oracle · Oracle Communications Operations Monitor
Abdelrhman Yousri
·
Publicado
2022-01-19
·
Atualizado
2022-01-21
·
CVE-2022-21246
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4, 5.0
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no componente Mediation Engine do Oracle Communications Operations Monitor. Isso permite que um invasor remoto obtenha acesso de leitura aos dados ou modifique dados usando solicitações HTTP especialmente criadas. Ataques bem-sucedidos podem afetar significativamente outros produtos e resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados, bem como acesso de leitura não autorizado a um subconjunto de dados.
Recomendações
Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, considere restringir o acesso ao componente Mediation Engine até que um patch esteja disponível.
Como solução alternativa temporária, evite usar solicitações HTTP especialmente criadas para o componente afetado.
Restrinja o acesso à rede via HTTP para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Communications Operations Monitor