Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-2739)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/04/2018
Última modificación:
03/10/2019

Descripción

Vulnerabilidad en el componente Oracle Access Manager de Oracle Fusion Middleware (subcomponente: Web Server Plugin). Las versiones soportadas que se han visto afectadas son la 10.1.4.3.0, 11.1.2.3.0 y la 12.2.1.3.0. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso a red por HTTP comprometa la seguridad de Oracle Access Manager. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Access Manager, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la creación, supresión o modificación sin autorización de datos de suma importancia o de todos los datos accesibles de Oracle Access Manager, así como el acceso sin autorización a datos de nivel de importancia crítico o todos los datos accesibles de Oracle Access Manager. CVSS 3.0 Base Score 9.3 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oracle:access_manager:10.1.4.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:access_manager:11.1.2.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:access_manager:12.2.1.3.0:*:*:*:*:*:*:*