リモートホストで実行されているOracle Business Intelligence Publisherのバージョンは、11.1.1.9.191015より前の11.1.1.9.x、12.2.1.3.191015より前の12.2.1.3.x、または12.2.1.4.191015より前の12.2.1.4.xです。したがって、2019年10月のCritical Patch Updateアドバイザリに記載されているように、複数の脆弱性の影響を受けます：- BI Publisherのインストールコンポーネントに詳細不明な脆弱性があり、HTTPでネットワークにアクセスできる認証されていない攻撃者がOracle BI Publisherを侵害する可能性があります。脆弱性があるのはOracle BI Publisherですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに権限なしにアクセスしたり、Oracle BI Publisherがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。（CVE-2019-2905）- Oracle BI PublisherのMobileServiceコンポーネントに詳細不明な脆弱性があり、認証されていない攻撃者がHTTPを介したネットワークアクセスによりBI Publisherを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはBI Publisherですが、攻撃が他の製品に大きな影響を与える可能性があります。（CVE-2019-2906）- Oracle BI PublisherのBI Publisher Securityコンポーネントに詳細不明な脆弱性があり、権限の低い攻撃者がHTTPを介したネットワークアクセスによりOracle BI Publisherを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、BIPublisherがアクセスできるデータのサブセットが権限なしに読み取られる可能性があります（CVE-2019-2898）- Oracle BI PublisherのAnalytics Actionsの詳細不明な脆弱性により、権限の低い攻撃者がHTTPを介したネットワークアクセスによりOracle BI Publisherを侵害する可能性があります。脆弱性があるのはOracle BI Publisherですが、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Oracle BI Publisherがアクセスできる一部のデータに権限なしでアクセスし、更新、挿入、削除したり、さらにOracle BI Publisherがアクセスできるデータのサブセットに権限なしで読み取りアクセスをする可能性があります。（CVE-2019-2897）- Oracle BI PublisherのSecure Store（OpenSSL）コンポーネントに詳細不明な脆弱性があり、認証されていない攻撃者がHTTPを介したネットワークアクセスによりBI Publisherを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに権限なしにアクセスしたり、Oracle BI Publisherのすべてのデータに完全にアクセスしたりする可能性があります。（CVE-2019-1559）- Oracle BI PublisherのBI Platform Security（JQuery）コンポーネントに詳細不明な脆弱性があり、認証されていない攻撃者がHTTPを介したネットワークアクセスによりOracle BI Publisherを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはOracle BI Publisherですが、攻撃が他の製品に大きな影響を与える可能性があります。（CVE-2016-7103）- Oracle BI PublisherのAnalytics Actionsコンポーネントに詳細不明な脆弱性があり、認証されていない攻撃者がHTTPを介したネットワークアクセスによりOracle BI Publisherを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに権限なしにアクセスしたり、Oracle BI Publisherがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。（CVE-2019-2900）- Oracle BI PublisherのBI Platform Securityコンポーネントに詳細不明な脆弱性があり、認証されていない攻撃者がHTTPを介したネットワークアクセスによりOracle BI Publisherを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle BI Publisherがアクセスできるデータのサブセットに、権限なしで読み取りアクセスする可能性があります。（CVE-2019-3012）Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle Business Intelligence Publisherの複数の脆弱性（2019年10月のCPU）

high Nessus プラグイン ID 130589

バージョン 1.9

バージョン 1.8

バージョン 1.9 Apr 15, 2024, 12:50 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202404151250
バージョン 1.8 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254