検出

Oracle E-Business Suite (2020年10月CPU )

critical Nessus プラグイン ID 141808

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているOracle E-Business Suiteのバージョンは、2020年10月のCPUアドバイザリに記載されている以下の複数の脆弱性の影響を受けます。

 - Oracle E-Business SuiteのOracle Universal Work Queue製品における脆弱性 (コンポーネント: ワークプロバイダー管理 ) 。サポートされているバージョンで影響を受けるのは12.1.3です。容易に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Universal Work Queueを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Universal Work Queueの乗っ取りが発生する可能性があります。 (CVE-2020-14855 )

 - Oracle E-Business Suite Secure Enterprise Search製品における脆弱性 (コンポーネント: Search Integration Engine ) 。サポートされているバージョンで影響を受けるのは、12.1.3および12.2.3~12.2.10です。容易に悪用可能な脆弱性により、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle E-Business Suite Secure Enterprise Searchを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやOracle E-Business Suite Secure Enterprise Searchがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle E-Business Suite Secure Enterprise Searchがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。 (CVE-2020-14805 )

 - Oracle E-Business SuiteのOracle Marketing製品における脆弱性 (コンポーネント:マーケティング管理 ) 。サポートされているバージョンで影響を受けるのは、12.1.1~12.1.3および12.2.3~12.2.10です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Marketingを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやOracle Marketingがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Marketingがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。 (CVE-2020-14875 )

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

October 2020 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/a/tech/docs/cpuoct2020cvrf.xml

https://www.oracle.com/security-alerts/cpuoct2020.html

プラグインの詳細

深刻度: Critical

ID: 141808

ファイル名: oracle_e-business_cpu_oct_2020.nasl

バージョン: 1.9

タイプ: remote

ファミリー: Misc.

公開日: 2020/10/22

更新日: 2022/9/12

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-14855

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:e-business_suite

必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/10/20

脆弱性公開日: 2020/10/20

エクスプロイト可能

CANVAS (CANVAS)

参照情報

CVE: CVE-2020-14746, CVE-2020-14761, CVE-2020-14774, CVE-2020-14805, CVE-2020-14808, CVE-2020-14811, CVE-2020-14816, CVE-2020-14817, CVE-2020-14819, CVE-2020-14822, CVE-2020-14823, CVE-2020-14826, CVE-2020-14831, CVE-2020-14833, CVE-2020-14834, CVE-2020-14835, CVE-2020-14840, CVE-2020-14849, CVE-2020-14850, CVE-2020-14851, CVE-2020-14855, CVE-2020-14856, CVE-2020-14857, CVE-2020-14862, CVE-2020-14863, CVE-2020-14875, CVE-2020-14876

IAVA: 2020-A-0476-S