Oracle Fusion MiddlewareのOracle WebCenter Sitesコンポーネントは、複数の脆弱性に対して脆弱です。

  - コンポーネント: 高度なUI（jQuery）。サポートされているバージョンで影響を受けるのは12.2.1.3.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle WebCenter Sitesを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはOracle WebCenter Sitesですが、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Application Expressがアクセスできる一部のデータに不正な更新、挿入、削除アクセスが行われたり、さらにOracle WebCenter Sitesがアクセスできるデータのサブセットに権限なしで読み取りアクセスが行われたりする可能性があります（CVE-2019-11358）。

  - コンポーネント: サイト（jackson-databind）。サポートされているバージョンで影響を受けるのは、12.2.1.3.0および12.2.1.4.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle WebCenter Sitesを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle WebCenter Sitesの乗っ取りが発生する可能性があります（CVE-2019-16943）。

  - コンポーネント: 高度なUI。サポートされているバージョンで影響を受けるのは12.2.1.3.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle WebCenter Sitesを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはOracle WebCenter Sitesですが、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに不正にアクセスしたり、Oracle WebCenter Sitesのすべてのアクセス可能データに対する完全なアクセス権を取得したりする可能性があります（CVE-2020-2739）。

検出

Oracle WebCenter Sitesの複数の脆弱性（2020年4月CPU）

critical Nessus プラグイン ID 135676

バージョン 1.11

バージョン 1.10

バージョン 1.11 Mar 15, 2024, 1:33 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202403151333
バージョン 1.10 Dec 6, 2022, 1:01 AM Reference Plugin Feed: 202212060101