Oracle E-Business Suiteの複数の脆弱性(2021年4月CPU)
critical Nessus プラグイン ID 148952
Language:
概要
リモートホストは、複数の脆弱性の影響を受けます説明
リモートホストにインストールされているOracle E-Business Suiteのバージョンは、2021年4月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。- Oracle E-Business SuiteのOracle Applications Framework製品に存在する脆弱性(コンポーネント:
ホームページ)。サポートされているバージョンで影響を受けるのは12.2.10です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Applications Frameworkを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、重要なデータやOracle Applications Frameworkがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Applications Frameworkがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
(CVE-2021-2200)
- Oracle E-Business SuiteのOracle Marketing製品に存在する脆弱性(コンポーネント:マーケティング管理)。サポートされているバージョンで影響を受けるのは、12.2.7-12.2.10です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Marketingを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやOracle Marketingがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Marketingがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。(CVE-2021-2205)
- Oracle E-Business SuiteのOracle Email Center製品に存在する脆弱性(コンポーネント:メッセージ表示)。サポートされているバージョンで影響を受けるのは、12.1.1-12.1.3および12.2.3-12.2.10です。容易に悪用可能な脆弱性により、権限の低い攻撃者がHTTPを介してネットワークにアクセスし、Oracle Email Centerを侵害する可能性があります。この脆弱性がOracle Email Centerに存在する間は、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータへの不正なアクセス、アクセス可能なすべてのOracle Email Centerデータへの完全なアクセスに加え、Oracle Email Centerのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。(CVE-2021-2209)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
April 2021 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 148952
ファイル名: oracle_e-business_cpu_apr_2021.nasl
バージョン: 1.13
タイプ: remote
ファミリー: Misc.
公開日: 2021/4/23
更新日: 2024/1/3
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-10086
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 8.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2021-2205
脆弱性情報
CPE: cpe:/a:oracle:e-business_suite
必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/4/20
脆弱性公開日: 2021/4/20
参照情報
CVE: CVE-2017-14735, CVE-2019-10086, CVE-2020-1967, CVE-2020-9488, CVE-2021-2150, CVE-2021-2153, CVE-2021-2155, CVE-2021-2156, CVE-2021-2181, CVE-2021-2182, CVE-2021-2183, CVE-2021-2184, CVE-2021-2185, CVE-2021-2186, CVE-2021-2187, CVE-2021-2188, CVE-2021-2189, CVE-2021-2190, CVE-2021-2195, CVE-2021-2197, CVE-2021-2198, CVE-2021-2199, CVE-2021-2200, CVE-2021-2205, CVE-2021-2206, CVE-2021-2209, CVE-2021-2210, CVE-2021-2222, CVE-2021-2223, CVE-2021-2224, CVE-2021-2225, CVE-2021-2227, CVE-2021-2228, CVE-2021-2229, CVE-2021-2231, CVE-2021-2233, CVE-2021-2235, CVE-2021-2236, CVE-2021-2237, CVE-2021-2238, CVE-2021-2239, CVE-2021-2241, CVE-2021-2246, CVE-2021-2247, CVE-2021-2249, CVE-2021-2251, CVE-2021-2252, CVE-2021-2254, CVE-2021-2255, CVE-2021-2258, CVE-2021-2259, CVE-2021-2260, CVE-2021-2261, CVE-2021-2262, CVE-2021-2263, CVE-2021-2267, CVE-2021-2268, CVE-2021-2269, CVE-2021-2270, CVE-2021-2271, CVE-2021-2272, CVE-2021-2273, CVE-2021-2274, CVE-2021-2275, CVE-2021-2276, CVE-2021-2288, CVE-2021-2289, CVE-2021-2290, CVE-2021-2292, CVE-2021-2295, CVE-2021-2314, CVE-2021-2316
BID: 105656
IAVA: 2021-A-0199-S, 2023-A-0559