Aviso de actualización de parches críticos de Oracle – Abril 2024
INTRODUCCIÓN
Oracle ha publicado un aviso que contiene 441 nuevos parches de seguridad para diferentes familias de productos. En este aviso cubriremos las vulnerabilidades críticas de los propios productos Oracle.
ANÁLISIS
CVE-2024-21071 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9.1:
Vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (componente: Admin Screens and Grants UI). Una vulnerabilidad fácilmente explotable permite a un atacante con privilegios elevados con acceso a la red a través de HTTP poner en peligro Oracle Workflow. Aunque la vulnerabilidad se encuentra en Oracle Workflow, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Workflow.
CVE-2024-21092 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N - 8.1:
Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Product Quality Management). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Agile Product Lifecycle Management for Process. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación no autorizada, eliminación o modificación de acceso a datos críticos o a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process.
CVE-2024-21082 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: XML Services). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle BI Publisher.
CVE-2024-21095 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N - 8.2:
Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Primavera P6 Enterprise Project Portfolio Management. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management así como acceso no autorizado de actualización, inserción o borrado a algunos de los datos accesibles de Primavera P6 Enterprise Project Portfolio Management.
CVE-2024-21007 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3, IIOP comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server.
CVE-2024-21010 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9.9:
Vulnerabilidad en el producto Oracle Hospitality Simphony de Oracle Food and Beverage Applications (componente: Simphony Enterprise Server). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Hospitality Simphony. Aunque la vulnerabilidad se encuentra en Oracle Hospitality Simphony, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Hospitality Simphony.
VERSIONES AFECTADAS
Oracle Hospitality Simphony versiones 19.1.0-19.5.4
Oracle WebLogic Server versiones 12.2.1.4.0 y 14.1.1.0.0
Primavera P6 Enterprise Project Portfolio Management versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2
Oracle BI Publisher versiones 7.0.0.0.0 y 12.2.1.4.0.
Oracle Agile Product Lifecycle Management for Process versiones 6.2.4.2
Oracle Workflow versiones 12.2.3-12.2.13
RECOMENDACIONES
Actualice según las instrucciones especificadas por Oracle para cada uno de sus productos.
REFERENCIAS
https://www.oracle.com/security-alerts/cpuapr2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-21010
https://nvd.nist.gov/vuln/detail/CVE-2024-21007
https://nvd.nist.gov/vuln/detail/CVE-2024-21095
https://nvd.nist.gov/vuln/detail/CVE-2024-21082
https://nvd.nist.gov/vuln/detail/CVE-2024-21092
https://nvd.nist.gov/vuln/detail/CVE-2024-21071