Vulnerabilidad en Oracle FLEXCUBE Direct Banking en Oracle Financial Services Applications (CVE-2017-10181)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2017
Última modificación:
20/04/2025
Descripción
Vulnerabilidad en el componente Oracle FLEXCUBE Direct Banking de Oracle Financial Services Applications (subcomponente: Forgot Password). Las versiones compatibles que se han visto afectadas son la 12.0.2 y la 12.0.3. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle FLEXCUBE Direct Banking. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de Oracle FLEXCUBE Direct Banking, así como la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de Oracle FLEXCUBE Direct Banking. CVSS 3.0 Base Score 6.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:H).
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:flexcube_direct_banking:12.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:flexcube_direct_banking:12.0.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
- http://www.securityfocus.com/bid/99648
- http://www.securitytracker.com/id/1038934
- http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
- http://www.securityfocus.com/bid/99648
- http://www.securitytracker.com/id/1038934