CVE-2022-21477

Oracle Applications Framework, versões 12.2.6 a 12.2.11

A vulnerabilidade existe devido à validação insuficiente de entradas no componente Attachments, File Upload do Oracle Applications Framework. Isso permite que um invasor remoto obtenha acesso de leitura aos dados ou modifique dados usando solicitações HTTP especialmente criadas. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso de leitura não autorizado a um subconjunto de dados.

Para as versões 12.2.6 a 12.2.11, considere desativar o componente “Anexos, Upload de Arquivos” até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente vulnerável para minimizar o risco de acesso ou modificação não autorizada de dados. Evite usar o componente vulnerável para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.