La firma tecnológica Oracle publicó recientemente un informe revelando múltiples vulnerabilidades de seguridad presentes en Oracle Application Testing Suite. Las fallas varían en cuanto a severidad, aunque el reporte de seguridad de aplicaciones web menciona al menos una vulnerabilidad crítica.

El primer reporte se refiere a
una vulnerabilidad
en el componente Oracle Flow Builder del producto Enterprise Manager. Esta
falla es fácilmente explotable y permite a un hacker no autenticado acceder a
la red mediante HTTP para tomar control total de la implementación de Oracle
para explotar la vulnerabilidad conocida como CVE-2016-4000.

La siguiente falla de seguridad
es una vulnerabilidad no especificada en Oracle Application Testing Suite del
subcomponente Oracle Enterprise Manager Load Testing for Web Apps. Un hacker
remoto podría acceder a la red vía HTTP para comprometer la implementación de
Oracle, bloquear subprocesos o incluso generar condiciones de denegación de
servicio, mencionan los especialistas en seguridad de aplicaciones web.

Oracle también reveló la
presencia de una vulnerabilidad no especificad en el subcomponente Oracle
Enterprise Manager Load Testing for Web Apps. Un hacker remoto puede acceder a
la red vía HTTP; generando interacción con un usuario, el atacante podría
afectar productos adicionales, vulnerabilidad conocida como CVE-2017-14735.

El siguiente escenario planteado
por los expertos en seguridad de aplicaciones web se relaciona con una
vulnerabilidad no especificada en Oracle Application Testing Suite del
subcomponente Oracle Enterprise Manager Load Testing (Application Developer
Framework). Explotando la vulnerabilidad CVE-2019-2904, un atacante remoto no
autenticado podría tomar control total de Oracle Application Testing Suite.

En el informe de Oracle también
aparece la vulnerabilidad identificada como CVE-2019-11358. De ser explotada,
esta falla permitiría a los actores de amenazas generar interacción humana para
afectar productos adicionales a Oracle Enterprise Manager Oracle Flow Builder
(jQuerry).  

Los especialistas en seguridad de
aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS)
menciona que las mitigaciones para todas estas fallas de seguridad se
encuentran en el parche crítico de Oracle, lanzado durante los primeros días de
enero de 2020, por lo que los administradores de estas implementaciones sólo
deben instalar el parche. Para mayores detalles, consulte el sitio web oficial
de la compañía.





Source link

Write a comment:
*

Your email address will not be published.