PT-2022-6231 · Oracle · Oracle Web Applications Desktop Integrator
L1K3Beef
·
Publicado
2022-10-18
·
Atualizado
2026-03-11
·
CVE-2022-21587
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Oracle Web Applications Desktop Integrator, versões 12.2.3 a 12.2.11
Descrição
Existe uma falha no componente Upload do Oracle Web Applications Desktop Integrator, parte do Oracle E-Business Suite. Essa vulnerabilidade permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa a aplicação. A exploração bem-sucedida pode levar à tomada de controle total do Oracle Web Applications Desktop Integrator. A vulnerabilidade é facilmente explorável e tem sido ativamente explorada na natureza. A análise indica que a exploração pode ser realizada por meio de cargas úteis baseadas em Perl e Java Server Pages (JSP) para execução remota de código. Relatórios sugerem que essa vulnerabilidade foi explorada já em janeiro de 2023, com uma prova de conceito (POC) publicada em fevereiro de 2023.
Recomendações
As versões 12.2.3 a 12.2.11 devem ser atualizadas para uma versão mais recente e segura.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oracle Web Applications Desktop Integrator