検出

Oracle Primavera P6 Enterprise Project Portfolio Management の複数の脆弱性(2020 年 7 月 CPU)

critical Nessus プラグイン ID 138511

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

自己報告されたバージョン番号によると、リモート Web サーバーで実行されている Oracle Primavera P6 Enterprise Project Portfolio Management(EPPM)のインストールは、16.2.20.1 より前の 16.1.x、17.12.17.1 より前の 17.1.x、18.8.19 より前の 18.1.x、または 19.12.6.0 より前の 19.12.x です。したがって、2020 年 7 月の CPU アドバイザリーに記載されている次のような複数の脆弱性の影響を受けます。

 - Oracleコンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性(コンポーネント: Web Access(dom4j))。サポートされているバージョンで影響を受けるのは、16.1.0.0-16.2.20.1、17.1.0.0-17.12.17.1、18.1.0.0-18.8.19、および 19.12.0-19.12.6 です。容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Management の乗っ取りが発生する可能性があります。(CVE-2020-10683)

 - Oracleコンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性(コンポーネント: Web Access(kafka クライアント))。サポートされているバージョンで影響を受けるのは 19.12.0-19.12.6 です。容易に悪用可能な脆弱性により、権限が低い攻撃者が HTTP を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Management の乗っ取りが発生する可能性があります。
 (CVE-2018-17196)

 - Oracleコンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性(コンポーネント: Web Access)。サポートされているバージョンで影響を受けるのは、17.1.0.0-17.12.17.1、18.1.0.0-18.8.19、19.12.0-19.12.5です。悪用が難しい脆弱性ですが、認証されていない攻撃者が HTTPS を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、重要なデータへの不正アクセス、Primavera P6 Enterprise Project Portfolio Management がアクセスできるデータへのフルアクセス、Primavera P6 Enterprise Project Portfolio Management がアクセスできる一部のデータへの権限のない更新、アクセスの挿入または削除が引き起こされる可能性があります。
 (CVE-2020-14706)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

July 2020 Oracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

https://www.oracle.com/a/tech/docs/cpujul2020cvrf.xml

https://www.oracle.com/security-alerts/cpujul2020.html

プラグインの詳細

深刻度: Critical

ID: 138511

ファイル名: oracle_primavera_p6_eppm_cpu_jul_2020.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2020/7/15

更新日: 2022/12/5

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-10683

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:primavera_p6_enterprise_project_portfolio_management

必要な KB アイテム: www/weblogic, installed_sw/Oracle Primavera P6 Enterprise Project Portfolio Management (EPPM)

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/7/14

脆弱性公開日: 2020/7/14

参照情報

CVE: CVE-2017-12610, CVE-2018-1288, CVE-2018-17196, CVE-2020-10683, CVE-2020-14653, CVE-2020-14706

BID: 109139

IAVA: 2020-A-0324