CVE-2025-21507

Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.0

O problema está relacionado a uma vulnerabilidade no componente Web Runtime SEC do JD Edwards EnterpriseOne Tools, que pode ser facilmente explorada. Essa vulnerabilidade permite que um invasor com privilégios limitados e acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do JD Edwards EnterpriseOne Tools, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis do JD Edwards EnterpriseOne Tools. A vulnerabilidade também está relacionada à falsificação de solicitação entre sites (CSRF).

Para versões anteriores à 9.2.9.0, atualize para a versão 9.2.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Web Runtime SEC até que um patch esteja disponível. Além disso, restrinja o acesso a dados confidenciais e implemente medidas para prevenir ataques de falsificação de solicitação entre sites.