CVE-2025-21538

Nome do Software Vulnerável e Versões Afetadas Versões do JD Edwards EnterpriseOne Tools anteriores à 9.2.9.2

Descrição O problema está relacionado ao componente Web Runtime SEC e pode ser facilmente explorado, permitindo que um atacante não autenticado com acesso à rede via HTTP comprometa o JD Edwards EnterpriseOne Tools. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o atacante. Esta vulnerabilidade pode impactar significativamente produtos adicionais e pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do JD Edwards EnterpriseOne Tools, bem como acesso não autorizado de leitura a um subconjunto dos dados acessíveis do JD Edwards EnterpriseOne Tools. A vulnerabilidade também está relacionada a um ataque de Falsificação de Solicitação Entre Sites (CSRF), que pode ser explorado por um atacante remoto.

Recomendações Para versões anteriores à 9.2.9.2, atualize para a versão 9.2.9.2 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao componente Web Runtime SEC para minimizar o risco de exploração. Além disso, tenha cuidado com potenciais ataques CSRF e tome medidas para preveni-los, como validar solicitações de usuário e implementar medidas de segurança adequadas. No momento, não há outras informações sobre medidas de mitigação adicionais.