検出

Oracle Primavera P6 Enterprise Project Portfolio Management(2021年7月CPU)

medium Nessus プラグイン ID 151892

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているPrimavera P6 Enterprise Project Portfolio Managementのバージョン 17.12、18.8、19.12、20.12は、2021年7月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - OracleコンストラクションおよびエンジニアリングのPrimavera P6 Enterprise Project Portfolio Management製品の脆弱性(コンポーネント:Web Access)。サポートされているバージョンで影響を受けるのは、17.12.0-17.12.20、18.8.0-18.8.23、19.12.0-19.12.14、20.12.0-20.12.3です。容易に悪用可能な脆弱性により、権限が低い攻撃者がHTTPを使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Managementを侵害する可能性があります。この脆弱性がPrimavera P6 Enterprise Project Portfolio Management,に存在する間は、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Managementがアクセスできるデータの一部への権限のない更新、挿入、削除アクセス、およびPrimavera P6 Enterprise Project Portfolio Managementがアクセスできるデータのサブセットへの権限のない読み取りアクセスが引き起こされる可能性があります。(CVE-2021-2366)

 - OracleコンストラクションおよびエンジニアリングのPrimavera P6 Enterprise Project Portfolio Management製品の脆弱性(コンポーネント:Web Access)。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.3です。容易に悪用可能な脆弱性により、権限が低い攻撃者がHTTPを使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Managementを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Managementがアクセスできるデータのサブセットへの権限のない読み取りアクセスが引き起こされる可能性があります。(CVE-2021-2386)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

July 2021 Oracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

https://www.oracle.com/a/tech/docs/cpujul2021cvrf.xml

https://www.oracle.com/security-alerts/cpujul2021.html

プラグインの詳細

深刻度: Medium

ID: 151892

ファイル名: oracle_primavera_p6_eppm_cpu_jul_2021.nasl

バージョン: 1.5

タイプ: remote

ファミリー: CGI abuses

公開日: 2021/7/21

更新日: 2023/12/7

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.6

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2021-2366

CVSS v3

リスクファクター: Medium

基本値: 6.4

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:primavera_p6_enterprise_project_portfolio_management

必要な KB アイテム: installed_sw/Oracle Primavera P6 Enterprise Project Portfolio Management (EPPM), www/weblogic

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/7/20

脆弱性公開日: 2021/7/20

参照情報

CVE: CVE-2021-2366, CVE-2021-2386

IAVA: 2021-A-0347