Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-2739)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/04/2018
Última modificación:
03/10/2019
Descripción
Vulnerabilidad en el componente Oracle Access Manager de Oracle Fusion Middleware (subcomponente: Web Server Plugin). Las versiones soportadas que se han visto afectadas son la 10.1.4.3.0, 11.1.2.3.0 y la 12.2.1.3.0. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso a red por HTTP comprometa la seguridad de Oracle Access Manager. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Access Manager, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la creación, supresión o modificación sin autorización de datos de suma importancia o de todos los datos accesibles de Oracle Access Manager, así como el acceso sin autorización a datos de nivel de importancia crítico o todos los datos accesibles de Oracle Access Manager. CVSS 3.0 Base Score 9.3 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N).
Impacto
Puntuación base 3.x
9.30
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:oracle:access_manager:10.1.4.3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:access_manager:11.1.2.3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:access_manager:12.2.1.3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página