Especialistas en ciberseguridad reportan el hallazgo de al menos seis vulnerabilidades en Hyperion Infrastructure Technology, una familia de soluciones desarrolladas por Oracle. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los hackers acceder a información confidencial en los sistemas afectados.

A continuación se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS). Todas las fallas residen en la versión 11.1.2.4 y anteriores.

CVE-2019-12415: Una validación insuficiente de las entradas XML cuando se usa herramienta XSSFExportToXml para convertir documentos de Microsoft Excel proporcionados por el usuario permite a los actores de amenazas pasar código XML especialmente diseñado a la aplicación afectadas y leer archivos del sistema.

La vulnerabilidad recibió un puntaje de 7.1/10 y su explotación permitiría a los actores de amenazas realizar escaneos de red internas y externas.

CVE-2020-5421: Una validación de entrada incorrecta dentro del componente Core (Spring Framework) en Oracle Communications Session Report Manager permitiría a los usuarios autenticados remotos acceder a la información comprometida.

Esta es una vulnerabilidad de severidad media que recibió un puntaje de 5.7/10.

CVE-2019-12402: El algoritmo de codificación del nombre de archivo puede entrar en un ciclo cuando se enfrenta a entradas especialmente diseñadas. Esto permitiría a los actores de amenazas elegir los nombres de archivo dentro de un archivo creado por Compress, conduciendo a una condición de denegación de servicio (DoS) en el sistema afectado. Esta falla recibió un puntaje de 6.5/10.

CVE-2019-17563: Una condición de carrera cuando se usa la autenticación FORM en Apache Tomcat permitiría a los atacantes de amenazas remotos usar una ventana estrecha para realizar un ataque de fijación de sesión.

La falla recibió un puntaje de 3.2/10.

CVE-2020-11984: Un error de límite en el módulo od_proxy_uwsgi permitiría a los actores de amenazas enviar solicitudes especialmente diseñadas al servidor web, generando daños en la memoria y obteniendo acceso a información confidencial en los sistemas afectados.  

Esta es una falla crítica que recibió un puntaje de 7.1/10 en la escala CVSS.

CVE-2019-13990: La validación insuficiente de la entrada XML proporcionada por el usuario en la función “initDocumentParser” en el archivo “xml/XMLSchedulingDataProcessor.java” permitiría a los hackers maliciosos enviar archivos maliciosos al sistema objetivo para desplegar ataques XEE remotos.

Los expertos en ciberseguridad no reportaron intentos de explotación activa, pero invitan a los usuarios de implementaciones afectadas a actualizar lo antes posible.