PT-2026-37345 · Agent 2 · Agent 2
Kelsier
·
Publicado
2026-05-06
·
Atualizado
2026-05-06
·
CVE-2026-23927
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Agent 2 (versões afetadas não especificadas)
Descrição
Um usuário capaz de se conectar ao Agent 2 pode injetar uma string de conexão Oracle TNS por meio do parâmetro
service. Isso permite que o software se conecte a um servidor controlado por um invasor, podendo vazar credenciais de banco de dados Oracle se estas estiverem salvas em uma sessão nomeada.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Agent 2