検出

Oracle Primavera Gatewayの複数の脆弱性(2019年7月のCPU)

critical Nessus プラグイン ID 126828

Language:

概要

リモートのWebサーバーで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているOracle Primavera Gatewayのインストールは、15.2.16より前の15.x、16.2.9より前の16.x、17.12.4より前の17.x、または18.8.6より前の18.xです。したがって、以下の複数の脆弱性の影響を受けます。- バージョン5.1、5.0.10より前のバージョン5.0.x、4.3.20より前のバージョン4.3.x、および4.2.xブランチのサポートされていない旧バージョンのSpring Frameworkの詳細不明な脆弱性により、悪意のあるユーザーが、多数の範囲、または重複する範囲、あるいはその両方を持つ範囲ヘッダーを追加して、サービス拒否を引き起こす可能性があります。(CVE-2018-15756) - 2.9.8より前のFasterXML jackson-databind 2.xでは、axis2-transport-jmsクラスを多相的な逆シリアル化からブロックできないことを悪用し、攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19360) - 2.9.8より前のFasterXML jackson-databind 2.xでは、openjpaクラスを多相的な逆シリアル化からブロックできないことを悪用し、攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19361) - 2.9.8より前のFasterXML jackson-databind 2.xでは、jboss-common-coreクラスを多相的な逆シリアル化からブロックできないことを悪用し、攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19362)Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Oracle Primavera Gatewaバージョン15.2.16/16.2.9/17.12.4/18.8.6以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?25a1b782

http://www.nessus.org/u?b5f18b61

プラグインの詳細

深刻度: Critical

ID: 126828

ファイル名: oracle_primavera_gateway_cpu_jul_2019.nasl

バージョン: 1.4

タイプ: remote

ファミリー: CGI abuses

公開日: 2019/7/19

更新日: 2022/12/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-19362

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:primavera_gateway

必要な KB アイテム: installed_sw/Oracle Primavera Gateway

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/16

脆弱性公開日: 2019/7/16

参照情報

CVE: CVE-2018-15756, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362

BID: 105703, 107985