Vulnerabilidad en Oracle WebCenter Interaction Portal (CVE-2018-16956)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

18/09/2018

Última modificación:

06/12/2018

Descripción

El componente AjaxControl de Oracle WebCenter Interaction Portal 10.3.3 no valida los nombres de las páginas al procesar las peticiones de renombramiento de página. Las páginas pueden renombrarse para incluir caracteres que no están soportados para URI por el servidor web que aloja el software WCI Portal (como IIS). Al renombrar las páginas para que incluyan caracteres no soportados, como 0x7f, evita que se pueda acceder a ellas a través del servidor web, provocando una denegación de servicio (DoS) en la página. NOTA: este CVE ha sido asignado por MITRE y no está validado por Oracle debido a que Oracle WebCenter Interaction Portal ya no tiene soporte.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico