自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているOracle Primavera Unifierのインストールは、15.x、16.2.15.9より前の16.x、17.12.11より前の17.7.x、または18.8.11より前の18.xです。したがって、以下の複数の脆弱性の影響を受けます。- 逆シリアル化の脆弱性がPrimavera UnifierのApache Solrサブコンポーネントにあります。認証されていないリモートの攻撃者がこれを悪用し、Solr Config APIに対する特別に細工されたリクエストを送信することにより、標的のホストで任意のコードを実行する可能性があります。（CVE-2019-0192）- 細工されたsqliteファイルの解析が不適切であるため、サービス拒否（DoS）の脆弱性がPrimavera UnifierのApache Tikaサブコンポーネントにあります。認証されていないリモートの攻撃者がこの問題を悪用し、特別に細工されたファイルを開くようユーザーを誘導して、アプリケーションの応答停止を引き起こす可能性があります。（CVE-2018-17197）- サーバーサイドリクエストフォージェリがPrimavera UnifierのApache Solrサブコンポーネントにあります。認証されていないリモートの攻撃者がこの問題を悪用し、Solrに到達可能なURLに対してHTTP GETリクエストを実行させる可能性があります。（CVE-2017-3164）- ユーザー指定の入力がユーザーに返される前に不適切に検証されているため、クロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたURLをクリックするようユーザーを誘導して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行し、Primavera Unifierのデータのサブセットに不正にアクセスして読み取り、更新、挿入、削除を行う可能性があります。（CVE-2015-9251）Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle Primavera Unifierの複数の脆弱性（2019年7月のCPU）

critical Nessus プラグイン ID 126829

バージョン 1.5