Vulnerabilidad en el producto Oracle Crystal Ball de Oracle Construction and Engineering (componente: Installation) (CVE-2022-21558)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/07/2022

Última modificación:

25/07/2022

Descripción

Una vulnerabilidad en el producto Oracle Crystal Ball de Oracle Construction and Engineering (componente: Installation). Las versiones afectadas son 11.1.2.0.000-11.1.2.4.900. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado que inicie sesión en la infraestructura donde es ejecutado Oracle Crystal Ball comprometerlo. Aunque la vulnerabilidad está en Oracle Crystal Ball, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Crystal Ball. CVSS 3.1, Puntuación Base 7.8 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H).

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto