リモートホストで実行されているOracle Business Intelligence PublisherまたはPublisher or Oracle Analytics Server 5.5のバージョンは、11.1.1.9.201020より前の11.1.1.9.x、12.2.1.3.201020より前の12.2.1.3.x、12.2.1.4.201020より前の12.2.1.4.x、または12.2.5.5.201012より前の12.2.5.5.x (OAS 5.5) です。したがって、2020年10月のCritical Patch Updateアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます:

  - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します (コンポーネント: BI Publisher Security (jQuery ) ) 。認証されていないリモートの攻撃者がこれを悪用し、アクセス可能な一部のBI Publisher データへの不正な更新、挿入、削除アクセスに加え、BI Publisherのアクセス可能なデータのサブセットへの不正な読み取りアクセスを引き起こす可能性があります。 (CVE-2019-11358 )

  - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します (コンポーネント: BI Publisher Security ) 。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、BI Publisherのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。 (CVE-2020-14780、CVE-2020-14842 )     
  - Oracle Fusion MiddlewareのOracle BI Publisher製品に詳細不明な脆弱性が存在します (コンポーネント: モバイルサービス ) 。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。 (CVE-2020-14784 )

  - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します (コンポーネント:
    E-Business Suite - XDO ) 。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、BI Publisherのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。 (CVE-2020-14879、CVE-2020-14880 )

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle Business Intelligence Publisherの複数の脆弱性 (2020年10月のCPU )

high Nessus プラグイン ID 142372

バージョン 1.5