PT-2022-3106 · Oracle · Oracle Flexcube Universal Banking
Publicado
2022-04-19
·
Atualizado
2022-05-02
·
CVE-2022-21472
CVSS v2.0
6.1
Média
| Vetor | AV:N/AC:H/Au:S/C:P/I:C/A:P |
Nome do software vulnerável e versões afetadas
Oracle FLEXCUBE Universal Banking versões 12.4, 14.0 a 14.3, 14.5
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no componente de infraestrutura do Oracle FLEXCUBE Universal Banking. Isso permite que um invasor remoto obtenha acesso de leitura aos dados ou cause uma negação parcial de serviço usando solicitações HTTP especialmente criadas. O invasor deve ter privilégios baixos e acesso à rede via HTTP. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso não autorizado a dados críticos, incluindo criação, exclusão ou modificação de dados, bem como acesso de leitura não autorizado a um subconjunto de dados.
Recomendações
Para a versão 12.4, atualize para uma versão que inclua a correção para este problema.
Para as versões 14.0 a 14.3, atualize para uma versão que inclua a correção para este problema.
Para a versão 14.5, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Infraestrutura até que um patch esteja disponível.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Flexcube Universal Banking