Vulnerabilidad en Oracle WebCenter Interaction (CVE-2018-16957)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

18/09/2018

Última modificación:

06/12/2018

Descripción

El binario del servicio de búsqueda queryd.exe de Oracle WebCenter Interaction 10.3.3 se compila con la contraseña embebida i1g2s3c4. La autenticación al servicio de búsqueda de Oracle WCI emplea esta contraseña embebida y no puede ser personalizable por los clientes. Un adversario que pueda acceder a este servicio a través de la red podría realizar consultas de búsqueda para extraer grandes cantidades de información sensible desde la instalación de WCI. NOTA: este CVE ha sido asignado por MITRE y no está validado por Oracle debido a que Oracle WebCenter Interaction Portal ya no tiene soporte.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 10.00 ALTA
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo