Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Aviso de actualización de parches críticos de Oracle – Abril 2024

17 Abr 2024

INTRODUCCIÓN

Oracle ha publicado un aviso que contiene 441 nuevos parches de seguridad para diferentes familias de productos. En este aviso cubriremos las vulnerabilidades críticas de los propios productos Oracle.

ANÁLISIS

CVE-2024-21071 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H - 9.1:

Vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (componente: Admin Screens and Grants UI). Una vulnerabilidad fácilmente explotable permite a un atacante con privilegios elevados con acceso a la red a través de HTTP poner en peligro Oracle Workflow. Aunque la vulnerabilidad se encuentra en Oracle Workflow, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Workflow.

CVE-2024-21092 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N - 8.1:

Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Product Quality Management). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Agile Product Lifecycle Management for Process. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación no autorizada, eliminación o modificación de acceso a datos críticos o a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process.

CVE-2024-21082 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: XML Services). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle BI Publisher.

CVE-2024-21095 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N - 8.2:

Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Primavera P6 Enterprise Project Portfolio Management. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management así como acceso no autorizado de actualización, inserción o borrado a algunos de los datos accesibles de Primavera P6 Enterprise Project Portfolio Management.

CVE-2024-21007 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:

Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3, IIOP comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server.

CVE-2024-21010 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9.9:

Vulnerabilidad en el producto Oracle Hospitality Simphony de Oracle Food and Beverage Applications (componente: Simphony Enterprise Server). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Hospitality Simphony. Aunque la vulnerabilidad se encuentra en Oracle Hospitality Simphony, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Hospitality Simphony.

VERSIONES AFECTADAS

Oracle Hospitality Simphony versiones 19.1.0-19.5.4
Oracle WebLogic Server versiones 12.2.1.4.0 y 14.1.1.0.0
Primavera P6 Enterprise Project Portfolio Management versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2
Oracle BI Publisher versiones 7.0.0.0.0 y 12.2.1.4.0.
Oracle Agile Product Lifecycle Management for Process versiones 6.2.4.2
Oracle Workflow versiones 12.2.3-12.2.13

RECOMENDACIONES

Actualice según las instrucciones especificadas por Oracle para cada uno de sus productos.

REFERENCIAS

https://www.oracle.com/security-alerts/cpuapr2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-21010
https://nvd.nist.gov/vuln/detail/CVE-2024-21007
https://nvd.nist.gov/vuln/detail/CVE-2024-21095
https://nvd.nist.gov/vuln/detail/CVE-2024-21082
https://nvd.nist.gov/vuln/detail/CVE-2024-21092
https://nvd.nist.gov/vuln/detail/CVE-2024-21071

Artículos relacionados
Vulnerabilidades en productos de Cisco 2025
Leer más →
Vulnerabilidades en SAP NetWeaver AS Java 2025
Leer más →
Vulnerabilidades en SureTriggers 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2 Grupo Soluciones de Seguridad S.L.U. en calidad de responsables del tratamiento, tratara los datos recogidos con la finalidad de proporcionar el contenido solicitado, basándose en el consentimiento que expresamente manifiesta al remitir el presente formulario. Estos datos no serán comunicados a terceros salvo obligación legal ni serán objetos de transferencias internacionales de datos.Puede ejercer sus derechos de acceso, rectificación, supresión, portabilidad, limitación de tratamiento y oposición en el correo rgpd@s2grupo.es con el asunto Protección de Datos.