Vulnerabilidades

Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad fácil de explotar permite a un atacante no autentificado con acceso a la red por medio de HTTP comprometer Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación base CVSS dependen del software que utiliza Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que se ve afectada es la 8.5.5. Una vulnerabilidad fácil de explotar permite a un atacante no autentificado con acceso a la red apor medio de HTTP comprometer Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación base CVSS dependen del software que utiliza Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que se ve afectada es la 8.5.5. La vulnerabilidad fácil de explotar permite a un atacante no autentificado con acceso a la red por medio de HTTP comprometer Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación base CVSS dependen del software que utiliza Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Una vulnerabilidad en el componente Oracle XML DB de Oracle Database Server. Unas versiones Soportadas que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente, permite a un atacante con altos privilegios de Alter User con acceso a la red por medio de Oracle Net comprometer Oracle XML DB. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle XML DB. CVSS 3.1 Puntuación Base 4.9 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)

Una vulnerabilidad en el componente Core RDBMS de Oracle Database Server. La versión soportada que está afectada es 19c. Una vulnerabilidad explotable fácilmente, permite a un atacante poco privilegiado y con acceso a la red por medio de Oracle Net, comprometer el Core RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una negación parcial de servicio (DOS parcial) de Core RDBMS. CVSS 3.1 Puntuación Base 4.3 (Impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)

Una vulnerabilidad en el producto Oracle Financial Services Crime and Compliance Investigation Hub de Oracle Financial Services Applications (componente: Reports). La versión compatible que está afectada es 20.1.2. Una vulnerabilidad difícil de explotar, permite a un atacante con altos privilegios con acceso a la infraestructura donde se ejecuta el Oracle Financial Services Crime and Compliance Investigation Hub comprometer el Oracle Financial Services Crime and Compliance Investigation Hub. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad se encuentra en Oracle Financial Services Crime and Compliance Investigation Hub, unos ataques pueden afectar significativamente a otros productos. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o eliminación de algunos de los datos accesibles de Oracle Financial Services Crime and Compliance Investigation Hub, así como el acceso no autorizado a la lectura de un subconjunto de datos accesibles de Oracle Financial Services Crime and Compliance Investigation Hub. CVSS 3.1 Puntuación Base 3.7 (Impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N)

Una vulnerabilidad en el componente Oracle XML DB de Oracle Database Server. Unas versiones Soportadas que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente, permite a un atacante con altos privilegios que tenga el privilegio de Create Any Procedure, Create Public Synonym con acceso a la red por medio de Oracle Net, comprometer Oracle XML DB. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de la base de datos XML de Oracle. Puntuación Base CVSS 3.1 7.2 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Una vulnerabilidad en el componente Oracle Text de Oracle Database Server. Unas versiones Soportadas que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente, permite a un atacante con altos privilegios que tenga el privilegio de Create Any Procedure, Alter Any Table con acceso a la red por medio de Oracle Net, comprometer Oracle Text. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Text. CVSS 3.1 Puntuación Base 7.2 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Una vulnerabilidad en el componente Database Vault de Oracle Database Server. Unas versiones Soportadas que están afectadas son 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente, permite a un atacante con altos privilegios de DBA con acceso a la red por medio de Oracle Net comprometer Database Vault. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Database Vault. CVSS 3.1 Puntuación Base 2.7 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)

Una vulnerabilidad en el producto Oracle FLEXCUBE Universal Banking de Oracle Financial Services Applications (componente: Loans And Deposits). Unas versiones Soportadas que están afectadas son 12.0-12.4, 14.0-14.4 . Una vulnerabilidad explotable fácilmente, permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer Oracle FLEXCUBE Universal Banking. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle FLEXCUBE Universal Banking, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle FLEXCUBE Universal Banking. CVSS 3.1 Puntuación Base 4.6 (Impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N)

Vulnerabilidad en el producto Oracle FLEXCUBE Universal Banking de Oracle Financial Services Applications (componente: Flex-Branch). Las versiones afectadas son 12.3, 12.4, 14.0-14.4 y . La vulnerabilidad difícil de explotar permite a un atacante no autentificado con acceso a la red a través de HTTP comprometer Oracle FLEXCUBE Universal Banking. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle FLEXCUBE Universal Banking. Puntuación base de CVSS 3.1: 5,9 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Gradle es una herramienta de construcción con un enfoque en la automatización de la construcción. En versiones anteriores a la 7.2, los scripts de inicio generados por el plugin `application` y el script `gradlew` son vulnerables a la ejecución de código arbitrario cuando un atacante es capaz de cambiar las variables de entorno del usuario que ejecuta el script. Esto puede afectar a aquellos que utilizan `gradlew` en sistemas tipo Unix o utilizan los scripts generados por Gradle en su aplicación en sistemas tipo Unix. Para que esta vulnerabilidad sea explotable, un atacante debe ser capaz de establecer el valor de determinadas variables de entorno y hacer que esas variables de entorno sean vistas por los scripts vulnerables. Este problema ha sido parcheado en Gradle 7.2 eliminando el uso de `eval` y requiriendo el uso del shell `bash`. Hay algunas soluciones disponibles. Para los sistemas CI/CD que utilizan la herramienta de construcción Gradle, se puede asegurar que los usuarios no confiables no puedan cambiar las variables de entorno para el usuario que ejecuta `gradlew`. Si no se puede actualizar a Gradle 7.2, se puede generar un nuevo script `gradlew` con Gradle 7.2 y utilizarlo para versiones anteriores de Gradle. En las aplicaciones que utilizan scripts de inicio generados por Gradle, se puede asegurar que los usuarios no confiables no puedan cambiar las variables de entorno del usuario que ejecuta el script de inicio. Un script de inicio vulnerable podría ser parcheado manualmente para eliminar el uso de `eval` o el uso de variables de entorno que afectan a la línea de comandos de la aplicación. Si la aplicación es lo suficientemente simple, se puede evitar el uso de los scripts de inicio ejecutando la aplicación directamente con el comando Java