Vulnerabilidades

Vulnerabilidad en Oracle iStore de Oracle E-Business Suite (componente: Gestión de Usuarios). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle iStore. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iStore. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

Vulnerabilidad en el producto JD Edwards EnterpriseOne Tools de Oracle JD Edwards (componente: Web Runtime SEC). Las versiones compatibles afectadas son 9.2.0.0-9.2.9.2. Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa JD Edwards EnterpriseOne Tools. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en JD Edwards EnterpriseOne Tools, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de JD Edwards EnterpriseOne Tools, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 6.1 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).

Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: NDBCluster Plugin). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Cluster. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Cluster. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).

Vulnerabilidad en el producto Oracle User Management de Oracle E-Business Suite (componente: Buscar y Registrar Usuarios). Las versiones compatibles afectadas son 12.2.4-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red vía HTTP comprometa Oracle User Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de Oracle User Management. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

Vulnerabilidad en el componente de seguridad RAS de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.26, 21.3-21.17 y 23.4-23.7. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios bajos, con privilegios de cuenta de usuario y acceso a la red a través de Oracle Net, comprometer la seguridad RAS. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de seguridad RAS, así como en el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de seguridad RAS. Puntuación base CVSS 3.1: 7.3 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N).

Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Panel Processor). Las versiones compatibles afectadas son las 8.60, 8.61 y 8.62. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad afecta a PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de PeopleSoft Enterprise PeopleTools, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 5.4 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).

Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Módulo de autenticación conectable). La versión compatible afectada es la 11. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometer Oracle Solaris. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris. Puntuación base de CVSS 3.1: 3.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N).

Vulnerabilidad en el componente Fleet Patching and Provisioning de Oracle Database Server. Las versiones compatibles afectadas son la 19.3-19.26. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Fleet Patching and Provisioning. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Fleet Patching and Provisioning. Puntuación base de CVSS 3.1: 5.3 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).

Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition (componente 2D). Las versiones compatibles afectadas son Oracle Java SE: 8u441, 8u441-perf, 11.0.26, 17.0.14, 21.0.6 y 24; Oracle GraalVM para JDK: 17.0.14, 21.0.6 y 24; Oracle GraalVM Enterprise Edition: 20.3.17 y 21.3.13. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition, así como acceso no autorizado a lecturas de subconjuntos de datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition, y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en un entorno aislado, que cargan y ejecutan código no confiable (p. ej., código proveniente de internet) y dependen del entorno aislado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (p. ej., código instalado por un administrador). Puntuación base CVSS 3.1: 5.6 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L).

Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Procedimiento Almacenado). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).

Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques con éxito pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de MySQL Server. Puntuación base de CVSS 3.1: 2.7 (Afecta a la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N).

Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, difícil de explotar, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.4 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).