Vulnerabilidad en el Application Mgmt Pack para el componente E-Business Suite en Oracle E-Business Suite (CVE-2016-0457)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/01/2016
Última modificación:
12/04/2025
Descripción
Vulnerabilidad no especificada en el Application Mgmt Pack para el componente E-Business Suite en Oracle E-Business Suite 12.1 y 12.2 permite a atacantes remotos afectar a la confidencialidad a través de vectores relacionados con REST Framework, una vulnerabilidad diferente a CVE-2016-0456. NOTA: la información anterior es de la CPU de Enero de 2016. Oracle no ha comentado sobre alegaciones de terceros que consideran que este problema es una vulnerabilidad de Entidad Externa XML (XXE), lo que permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio, llevar a cabo ataques de SSRF o llevar a cabo ataques SMB Relay a través de un DTD manipulado en una petición XML a OA_HTML/lcmServiceController.jsp.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:e-business_suite:12.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:e-business_suite:12.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
- http://www.securitytracker.com/id/1034726
- https://erpscan.io/advisories/erpscan-16-007-oracle-e-business-suite-xxe-injection-vulnerability/
- http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
- http://www.securitytracker.com/id/1034726
- https://erpscan.io/advisories/erpscan-16-007-oracle-e-business-suite-xxe-injection-vulnerability/