Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Oracle, que permitirían a un atacante realizar ejecución remota de código (RCE), comprometer la confidencialidad, integridad y disponibilidad de la aplicación, entre otros.
Oracle ha reportado un total de 508 vulnerabilidades en su actualización de seguridad de julio. Las principales se detallan a continuación:
- CVE-2023-21975 y CVE-2023-21974, ambas de severidad “Crítica”, con una puntuación asignada de 9.0. Estas vulnerabilidades se deben a una falla de seguridad en el componente de cuentas de usuario de los plugins Application Express Customers y Application Express Team Calendar de Oracle Application Express. Esto permitiría a un atacante con privilegios limitados y acceso a la red, a través de una solicitud HTTP especialmente diseñada y accedida por un usuario, obtener el control total del plugin, comprometer la confidencialidad, integridad y disponibilidad de la aplicación afectada.
- CVE-2023-25194, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de validación de datos en el proceso de deserialización del componente Core del servidor Apache Kafka Connect en productos Oracle Communications. Esto permitiría a un atacante a través de la API REST configurar el conector de Kafka Connect, para así realizar ejecución de código (RCE) en el sistema afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Algunos de los productos afectados son:
- Application Express Administration, versiones 18.2 a 22.2.
- Application Express Customers Plugin, versiones 18.2 a 22.2.
- Application Express Team Calendar Plugin, versiones 18.2 a 22.1.
- MySQL Cluster, versiones 8.0.33 y anteriores.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en la siguiente guía:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-criticas-en-oracle-julio-2023
- https://nvd.nist.gov/vuln/detail/CVE-2023-21975
- https://nvd.nist.gov/vuln/detail/CVE-2023-21974
- https://nvd.nist.gov/vuln/detail/CVE-2023-25194
- https://www.oracle.com/security-alerts/cpujul2023.html
- https://www.oracle.com/support/