Vulnerabilidades

Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: AWT, JavaFX). Las versiones compatibles afectadas son Oracle Java SE: 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1; Oracle GraalVM para JDK: 17.0.17 y 21.0.9; Oracle GraalVM Enterprise Edition: 21.3.16. Vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad está en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación de acceso no autorizados a datos críticos o a todos los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, típicamente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código no confiable (p. ej., código que proviene de internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, típicamente en servidores, que cargan y ejecutan solo código confiable (p. ej., código instalado por un administrador). Puntuación Base CVSS 3.1 de 7.4 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N).

Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Networking). Las versiones compatibles afectadas son Oracle Java SE: 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1; Oracle GraalVM para JDK: 17.0.17 y 21.0.9; Oracle GraalVM Enterprise Edition: 21.3.16. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren interacción humana de una persona que no sea el atacante y, si bien la vulnerabilidad se encuentra en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad puede ser explotada utilizando APIs en el Componente especificado, por ejemplo, a través de un servicio web que suministra datos a las APIs. Esta vulnerabilidad también se aplica a implementaciones de Java, típicamente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de internet) y dependen del sandbox de Java para la seguridad. Puntuación Base CVSS 3.1 de 6.1 (impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).

Vulnerabilidad en el producto Oracle Planning and Budgeting Cloud Service de Oracle Hyperion (componente: EPM Agent). La versión soportada que está afectada es 25.04.07. Vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios con inicio de sesión en la infraestructura donde se ejecuta Oracle Planning and Budgeting Cloud Service comprometer Oracle Planning and Budgeting Cloud Service. Ataques exitosos requieren interacción humana de una persona distinta al atacante. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de creación, eliminación o modificación a datos críticos o a todos los datos accesibles de Oracle Planning and Budgeting Cloud Service. Nota: Actualice EPM Agent. Por favor, consulte Downloading the EPM Agent para más información. Puntuación Base CVSS 3.1 4.2 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:H/A:N).

Vulnerabilidad en el producto Oracle Life Sciences Central Designer de Oracle Health Sciences Applications (componente: Platform). La versión compatible que se ve afectada es 7.0.1.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Life Sciences Central Designer. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Life Sciences Central Designer, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de Oracle Life Sciences Central Designer. Puntuación base CVSS 3.1 de 6.5 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N).

Vulnerabilidad en el producto Oracle Utilities Application Framework de Oracle Utilities Applications (componente: General). Las versiones soportadas que están afectadas son 4.4.0.3.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 4.5.0.2.0, 25.4 y 25.10. La vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red vía HTTP comprometer Oracle Utilities Application Framework. Los ataques exitosos requieren interacción humana de una persona distinta al atacante y, aunque la vulnerabilidad está en Oracle Utilities Application Framework, los ataques pueden impactar significativamente productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Utilities Application Framework, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de Oracle Utilities Application Framework. Puntuación Base CVSS 3.1 de 5.4 (impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).

Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: RMI). Las versiones compatibles afectadas son Oracle Java SE: 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1; Oracle GraalVM para JDK: 17.0.17 y 21.0.9; Oracle GraalVM Enterprise Edition: 21.3.16. Vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad puede ser explotada utilizando APIs en el Componente especificado, por ejemplo, a través de un servicio web que suministra datos a las APIs. Esta vulnerabilidad también se aplica a implementaciones de Java, típicamente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de internet) y dependen del sandbox de Java para la seguridad. Puntuación Base CVSS 3.1 4.8 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).

Al usar http.cookies.Morsel, los valores y parámetros de cookie controlados por el usuario pueden permitir la inyección de encabezados HTTP en los mensajes. El parche rechaza todos los caracteres de control dentro de los nombres, valores y parámetros de las cookies.

Nombres y valores de encabezado controlados por el usuario que contienen saltos de línea pueden permitir la inyección de encabezados HTTP.

El uso de una clave de cifrado codificada de forma rígida en las llamadas a la función Password en C2SGlobalSettings.dll en Milner ImageDirector Capture en Windows permite a un atacante local descifrar las credenciales de la base de datos leyendo la clave criptográfica del ejecutable.<br /> <br /> Este problema afecta a ImageDirector Capture: desde 7.0.9 antes de 7.6.3.25808.

Vulnerabilidad de Credenciales Insuficientemente Protegidas en el campo de Credenciales de Milner ImageDirector Capture permite la recuperación de material de credenciales y habilita el acceso a la base de datos. Este problema afecta a ImageDirector Capture: desde 7.0.9 hasta 7.6.3.25808.

Credenciales Insuficientemente Protegidas, Restricción Inadecuada del Canal de Comunicación a los Puntos Finales Previstos vulnerabilidad en el diálogo de Configuración de Conexión en Milner ImageDirector Capture en Windows permite Adversario en el Medio (AiTM) al modificar el campo &amp;#39;Servidor&amp;#39; para redirigir la autenticación del cliente. Este problema afecta a ImageDirector Capture: desde 7.0.9 antes de 7.6.3.25808.

Vulnerabilidad por el uso de un algoritmo criptográfico roto o arriesgado (DES) en la clase Password en C2SConnections.dll en Milner ImageDirector Capture en Windows permite la fuerza bruta de cifrado para obtener credenciales de la base de datos. Este problema afecta a ImageDirector Capture: desde 7.0.9.0 antes de 7.6.3.25808.