CVE-2024-21017

Nome do software vulnerável e versões afetadas:

Oracle Complex Maintenance, Repair, and Overhaul, versões 12.2.3 a 12.2.13

Descrição:

O problema existe devido à validação insuficiente de entradas no componente LOV do produto Oracle Complex Maintenance, Repair, and Overhaul, parte do Oracle E-Business Suite. Isso permite que um invasor remoto obtenha acesso para ler, modificar, adicionar ou excluir dados via protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados, bem como acesso não autorizado para leitura de um subconjunto de dados.

Recomendações:

Para as versões 12.2.3 a 12.2.13, considere desativar temporariamente o componente LOV até que um patch esteja disponível para impedir a exploração.

Restrinja o acesso ao produto Oracle Complex Maintenance, Repair, and Overhaul via HTTP para minimizar o risco de acesso não autorizado aos dados.

Evite usar o produto afetado para operações confidenciais até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.