PT-2024-1206 · Oracle · Oracle E-Business Suite+1
Siril James
·
Publicado
2024-01-16
·
Atualizado
2025-05-07
·
CVE-2024-20915
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Oracle E-Business Suite, versões 12.2.3 a 12.2.13
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Login - SSO do produto Oracle Application Object Library. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa a Oracle Application Object Library, resultando em uma negação parcial de serviço. A vulnerabilidade é facilmente explorável e pode ser acionada remotamente.
Recomendações
Para as versões 12.2.3 a 12.2.13, considere desativar o componente Login - SSO até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à Oracle Application Object Library para minimizar o risco de uma negação parcial de serviço. Evite usar o protocolo HTTP para acessar o componente vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
RCE
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oracle Application Object Library
Oracle E-Business Suite