Múltiples vulnerabilidades críticas en Oracle (Enero)

ANÁLISIS

Esta actualización resuelve 497 vulnerabilidades. Debido a la elevada cantidad de las mismas, en esta tabla resumen se encuentran aquellas vulnerabilidades consideradas como críticas según la puntuación oficial de CVSSv3:

CVE                         CVSSv3    Productos Afectados                                                      Versiones Afectadas

CVE-2022-21275    10.0        Oracle Communications Billing and Revenue Management      < 12.0.0.3 & < 12.0.0.4 

CVE-2022-21389    10.0        Oracle Communications Billing and Revenue Management      < 12.0.0.3 & < 12.0.0.4 

CVE-2022-21390    10.0        Oracle Communications Billing and Revenue Management      < 12.0.0.3 & < 12.0.0.4 

CVE-2022-21276     9.9         Oracle Communications Billing and Revenue Management      < 12.0.0.3 & < 12.0.0.4 

CVE-2022-21391     9.9         Oracle Communications Billing and Revenue Management      < 12.0.0.3 & < 12.0.0.4 

CVE-2021-35683     9.9         Oracle Essbase Administration Services                                    < 11.1.2.4.047

CVE-2021-3711       9.8         Oracle Essbase                                                                            < 12.4.0.0

CVE-2021-3177       9.8         Enterprise Manager Ops Center                                                 < 11.2.4.047 & < 21.3

CVE-2021-35587     9.8         Oracle Access Manager                                              < 11.1.2.3.0 & < 12.2.1.3.0 & < 12.2.1.4.0

CVE-2020-17530     9.8         Oracle Business Intelligence Enterprise Edition                          < 12.2.1.3.0 & < 12.2.1.4.0

CVE-2022-21306     9.8         Oracle WebLogic Server                     < 12.1.3.0.0 & < 12.2.1.3.0 & < 12.2.1.4.0 & < 14.1.1.0.0

CVE-2020-10683     9.8         Oracle Insurance Policy Administration J2EE & Oracle Insurance Rules Palette    < 10.2.0 & < 10.2.4 & < 11.0.2 & < 11.1.0-11.3.0

CVE-2021-22931     9.8         PeopleSoft Enterprise PeopleTools                                            < 8.57 & < 8.58 & < 8.59

CVE-2020-14756     9.8    Oracle Utilities Framework     < 4.2.0.2.0 & < 4.2.0.3.0 & < 4.3.0.1.0-4.3.0.6.0 & < 4.4.0.0.0 & < 4.4.0.2.0 & < 4.4.0.3.0

CVE-2019-17495     9.8     Oracle Banking APIs & Oracle Banking Digital Experience    < 18.1-18.3 & < 19.1 & < 19.2 & < 20.1 & < 21.1 

CVE-2021-26691     9.8    Oracle Secure Backup (Apache HTTP Server)                                  < 11.2.4.047 & < 21.3

CVE-2021-23440     9.8    Oracle Communications Cloud Native Core Policy                            < 1.14.0

CVE-2021-21783     9.8    Oracle Communications EAGLE Application Processor                    < 16.1-16.4

CVE-2021-44790     9.8    Instantis EnterpriseTrack                                                                   < 17.1 & < 17.2 & < 17.3

CVE-2021-42575     9.8     Primavera Unifier           < 17.1 & < 17.2 & < 17.3 & < 18.8 & < 19.12 & < 20.12 & < 21.12

RECOMENDACIONES

Oracle ha parcheado cada una de las vulnerabilidades en su página oficial [3]. Se recomienda actualizar todos los productos afectados.

REFERENCIAS

[1] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-enero-2022
[2] https://www.oracle.com/security-alerts/cpujan2022.html#AppendixSCP
[3] https://login.oracle.com/mysso/signon.jsp