Oracle ha publicat un avís que conté 441 nous pedaços de seguretat per a diferents famílies de productes. En este avís cobrirem les vulnerabilitats crítiques dels mateixos productes Oracle.
Análisis
Els pedaços de seguretat resolen les vulnerabilitats següents:
- CVE-2024-21071 : Vulnerabilitat en el producte Oracle Workflow d’Oracle E-Business Suite (component: Admin Screens and Grants UI). Una vulnerabilitat fàcilment explotable permet a un atacant amb privilegis elevats amb accés a la xarxa a través d’HTTP posar en perill Oracle Workflow. Encara que la vulnerabilitat es troba en Oracle Workflow, els atacs poden afectar significativament productes addicionals (canvi d’abast). Els atacs exitosos d’esta vulnerabilitat poden resultar en la presa de control d’Oracle Workflow.
- CVE-2024-21092 : Vulnerabilitat en el producte Oracle Agile Product Lifecycle Management for Process d’Oracle Supply Chain (component: Product Quality Management). Una vulnerabilitat fàcilment explotable permet a un atacant amb pocs privilegis i accés a la xarxa a través d’HTTP posar en perill Oracle Agile Product Lifecycle Management for Process. Els atacs exitosos d’esta vulnerabilitat poden resultar en la creació no autoritzada, eliminació o modificació d’accés a dades crítiques o a totes les dades accessibles d’Oracle Agile Product Lifecycle Management for Process, així com accés no autoritzat a dades crítiques o accés complet a totes les dades accessibles d’Oracle Agile Product Lifecycle Management for Process.
- CVE-2024-21082: Vulnerabilitat en el producte Oracle BI Publisher d’Oracle Analytics (component: XML Services). Una vulnerabilitat fàcilment explotable permet a un atacant no autenticat amb accés a la xarxa a través d’HTTP comprometre Oracle BI Publisher. Els atacs exitosos d’esta vulnerabilitat poden resultar en la presa de control d’Oracle BI Publisher.
CVE-2024-21095: Vulnerabilitat en el producte Primavera P6 Enterprise Project Portfolio Management d’Oracle Construction and Engineering (component: Web Access). Una vulnerabilitat fàcilment explotable permet a un atacant no autenticat amb accés a la xarxa a través d’HTTP comprometre Primavera P6 Enterprise Project Portfolio Management. Atacs exitosos d’esta vulnerabilitat poden resultar en accés no autoritzat a dades crítiques o accés complet a totes les dades accessibles de Primavera P6 Enterprise Project Portfolio Management així com accés no autoritzat d’actualització, inserció o esborrament d’algunes de les dades accessibles de Primavera P6 Enterprise Project Portfolio Management.
CVE-2024-21007: Vulnerabilitat en el producte Oracle WebLogic Server d’Oracle Fusion Middleware (component: Core). Una vulnerabilitat fàcilment explotable permet a un atacant no autenticat amb accés a la xarxa a través de T3, IIOP comprometre Oracle WebLogic Server. Els atacs exitosos d’esta vulnerabilitat poden resultar en accés no autoritzat a dades crítiques o accés complet a totes les dades accessibles d’Oracle WebLogic Server.
CVE-2024-21010: Vulnerabilitat en el producte Oracle Hospitality Simphony d’Oracle Food and Beverage Applications (component: Simphony Enterprise Server). Una vulnerabilitat fàcilment explotable permet a un atacant amb pocs privilegis i accés a la xarxa a través d’HTTP posar en perill Oracle Hospitality Simphony. Encara que la vulnerabilitat es troba en Oracle Hospitality Simphony, els atacs poden afectar significativament productes addicionals (canvi d’abast). Els atacs exitosos d’esta vulnerabilitat poden resultar en la presa de control d’Oracle Hospitality Simphony.
Versions Afectades:
- Oracle Hospitality Simphony versiones 19.1.0-19.5.4
- Oracle WebLogic Server versiones 12.2.1.4.0 y 14.1.1.0.0
- Primavera P6 Enterprise Project Portfolio Management versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2
- Oracle BI Publisher versiones 7.0.0.0.0 y 12.2.1.4.0.
- Oracle Agile Product Lifecycle Management for Process versiones 6.2.4.2
- Oracle Workflow versiones 12.2.3-12.2.13
Recomanacions:
Actualitze segons les instruccions especificades per Oracle per a cada un dels seus productes..
Referències:
https://www.oracle.com/security-alerts/cpuapr2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-21010
https://nvd.nist.gov/vuln/detail/CVE-2024-21007
https://nvd.nist.gov/vuln/detail/CVE-2024-21095
https://nvd.nist.gov/vuln/detail/CVE-2024-21082
https://nvd.nist.gov/vuln/detail/CVE-2024-21092
https://nvd.nist.gov/vuln/detail/CVE-2024-21071