Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Oracle, que permitirían a un atacante realizar denegación de servicios (DoS), divulgación de información, obtener acceso no autorizado, entre otros.
Las vulnerabilidades reportadas se componen de 28 (veintiocho) de severidad “Crítica”, 71 (setenta y uno) de severidad “Alta”, 77 (setenta y siete) de severidad “Media” y 6 (seis) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-21890, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en el componente Core de Oracle Communications Converged Application Server. Esto permitiría a un atacante no autenticado con acceso a la red, realizar ejecución arbitraria de código en el sistema afectado.
- CVE-2022-37434, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla en el componente de Security de Oracle BI Publisher. Esto permitiría a un atacante no autenticado con acceso a la red, obtener el control del producto afectado.
- CVE-2022-42915, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en el componente Install/Upgrade (cURL) de Oracle Communications Cloud Native Core. Esto permitiría a un atacante no autenticado con acceso a la red, obtener el control a la función de soporte del producto afectado a través de un enlace HTTP.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Algunos productos afectados son:
- Oracle Banking Enterprise Default Management, versiones 2.6.2, 2.7.0, 2.7.1 y 2.12.0.
- Oracle Banking Loans Servicing, versiones 2.8.0 y 2.12.0.
- Oracle Banking Party Management, versión 2.7.0.
- Oracle Banking Platform, versiones 2.6.2, 2.7.1 y 2.9.0, 2.12.0.
Puede acceder a la lista completa de productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1476/
- https://nvd.nist.gov/vuln/detail/CVE-2023-21890
- https://nvd.nist.gov/vuln/detail/CVE-2022-37434
- https://nvd.nist.gov/vuln/detail/CVE-2022-42915
- https://www.oracle.com/security-alerts/cpujan2023.html
- https://www.oracle.com/security-alerts/cpujan2023verbose.html
- https://www.oracle.com/support/