Vulnerabilidad en el componente Oracle Configurator en Oracle Supply Chain Products Suite (CVE-2016-3438)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/04/2016
Última modificación:
12/04/2025
Descripción
Vulnerabilidad no especificada en el componente Oracle Configurator en Oracle Supply Chain Products Suite 12.0.6, 12.1 y 12.2 permite a atacantes remotos afectar la confidencialidad y la integridad a través de vectores relacionados con JRAD Heartbeat. NOTA: La información previa es de Abril 2016 CPU. Oracle no ha comentado sobre quejas de terceras partes que dicen que este problema se relaciona con múltiples vulnerabilidades de XSS, las cuales permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarias a través de tres parámetros no especificados en un archivo JPS desconocido.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:configurator:12.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:configurator:12.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://onapsis.com/research/security-advisories/oracle-e-business-suite-cross-site-scripting-xss-cve-2016-3438
- http://packetstormsecurity.com/files/138564/Oracle-E-Business-Suite-12.2-Cross-Site-Scripting.html
- http://seclists.org/fulldisclosure/2016/Aug/136
- http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
- http://www.securitytracker.com/id/1035591
- http://onapsis.com/research/security-advisories/oracle-e-business-suite-cross-site-scripting-xss-cve-2016-3438
- http://packetstormsecurity.com/files/138564/Oracle-E-Business-Suite-12.2-Cross-Site-Scripting.html
- http://seclists.org/fulldisclosure/2016/Aug/136
- http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
- http://www.securitytracker.com/id/1035591