CVE-2024-20941

Oracle E-Business Suite, versões 12.2.3 a 12.2.13

O problema está relacionado à validação insuficiente de entradas no componente de interface do usuário HTML do Oracle Installed Base, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Installed Base. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis do Oracle Installed Base, bem como acesso não autorizado para leitura de um subconjunto de dados acessíveis do Oracle Installed Base.

Para as versões 12.2.3 a 12.2.13, considere desativar temporariamente o componente de interface do usuário HTML até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao produto da Base Instalada da Oracle via HTTP para minimizar o risco de acesso não autorizado aos dados. Aplique alterações de configuração para limitar o impacto de possíveis ataques, como restringir privilégios de usuário e monitorar a atividade de rede em busca de comportamentos suspeitos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.