CVE-2024-20940

Oracle E-Business Suite, versões 12.2.3 a 12.2.13

O problema está relacionado à validação insuficiente de entradas no componente Create, Update, Authoring Flow do Oracle Knowledge Management. Isso permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Knowledge Management. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos. Os ataques podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dados acessíveis pelo Oracle Knowledge Management, bem como acesso não autorizado para leitura de um subconjunto desses dados.

Para as versões 12.2.3 a 12.2.13, atualize para uma versão que inclua a correção para este problema. Como solução alternativa temporária, considere restringir o acesso ao componente Create, Update, Authoring Flow até que um patch esteja disponível. Evite usar o protocolo HTTP para acessar o Oracle Knowledge Management até que o problema seja resolvido. Restrinja o acesso a dados confidenciais no Oracle Knowledge Management para minimizar o risco de exploração.