PT-2022-2197 · Oracle · Oracle Communications Operations Monitor
Hamed Ashraf
·
Publicado
2022-01-19
·
Atualizado
2022-01-25
·
CVE-2022-21398
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle Communications Operations Monitor versões 3.4, 4.2, 4.3, 4.4 e 5.0
Descrição
A vulnerabilidade está relacionada à validação insuficiente de entradas no componente Mediation Engine. Ela permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o Oracle Communications Operations Monitor. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle Communications Operations Monitor, bem como acesso não autorizado para leitura de um subconjunto desses dados.
Recomendações
Para as versões 3.4, 4.2, 4.3, 4.4 e 5.0, considere restringir o acesso ao componente Mediation Engine para minimizar o risco de exploração até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar o acesso HTTP ao Oracle Communications Operations Monitor até que o problema seja resolvido.
Evite usar solicitações HTTP especialmente criadas para o componente afetado até que a vulnerabilidade seja corrigida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Communications Operations Monitor