Vulnerabilidad en el componente Oracle Database Enterprise Edition Unified Audit de Oracle Database Server (CVE-2021-35576)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/10/2021
Última modificación:
24/02/2023
Descripción
Una vulnerabilidad en el componente Oracle Database Enterprise Edition Unified Audit de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente permite a un atacante con privilegios de inicio de sesión local con acceso a la red por medio de Oracle Net comprometer a Oracle Database Enterprise Edition Unified Audit. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Database Enterprise Edition Unified Audit. CVSS 3.1 Puntuación Base 2.7 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:database_server:12.1.0.2:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:oracle:database_server:12.2.0.1:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:oracle:database_server:19c:*:enterprise:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/170354/Oracle-Unified-Audit-Policy-Bypass.html
- http://packetstormsecurity.com/files/170373/Oracle-Database-Vault-Metadata-Exposure.html
- https://databasesecurityninja.wordpress.com/2022/06/11/cve-2021-35576-bypassing-unified-audit-policy/
- https://www.oracle.com/security-alerts/cpuoct2021.html