検出

Oracle WebCenter Portal の複数の脆弱性 (2022 年 4 月 CPU)

high Nessus プラグイン ID 159954

Language:

概要

リモートホストにインストールされているアプリケーションサーバーは、複数の脆弱性による影響を受けます

説明

リモートホストにインストールされている Oracle WebCenter Portal のバージョンに、2022 年 4 月の Critical Patch Update (CPU) からのセキュリティパッチがありません。そのため、以下の複数の脆弱性の影響を受けます。

 - バンドルされた jackson-databind コンポーネントの XML 外部エンティティの脆弱性により、HTTP 経由でネットワークにアクセスできる認証されていない攻撃者が、Oracle WebCenter Portal にアクセス可能なすべてのデータにアクセス、作成、または削除する可能性があります。(CVE-2020-25649)

 - バンドルされている Apache Tika、jsoup、Netty、Apache Commons Compress コンポーネントのサービス拒否の脆弱性により、認証されていない攻撃者が HTTP 経由でネットワークにアクセスし、Oracle WebCenter Portal をハングさせたり、頻繁に繰り返しクラッシュさせたりする可能性があります。(CVE-2020-28657、CVE-2021-36090、CVE-2021-37137、CVE-2021-37714)

 - バンドルされた Apache Commons IO コンポーネントのパストラバーサルの脆弱性により、HTTP 経由でネットワークにアクセスできる認証されていない攻撃者が、Oracle WebCenter Portal にアクセス可能な一部のデータにアクセス、更新、または削除する可能性があります。
 (CVE-2021-29425)

 - バンドルされている Apache PDFBox コンポーネントにサービス拒否の脆弱性があるため、認証されていない攻撃者が、Oracle WebCenter Portal が実行されているインフラストラクチャにログオンし、別のユーザーからの人間の操作により、Oracle WebCenter Portal をハングさせたり、頻繁に繰り返しクラッシュさせたりする可能性があります。(CVE-2021-31912)

 - バンドルされた CKEditor コンポーネントのクロスサイトスクリプティングの脆弱性により、権限の低い攻撃者が、HTTP 経由でネットワークにアクセスし、別のユーザーから人間が操作して、Oracle WebCenter Portal にアクセス可能なデータの一部を読み取り、更新、削除する可能性があります。(CVE-2021-41165)

 - バンドルされた Apache Log4J コンポーネントにおけるリモートコード実行の脆弱性により、権限の高い攻撃者が HTTP 経由でネットワークにアクセスし、Oracle WebCenter Portal で任意のコードを実行する可能性があります。(CVE-2021-44832)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

April 2022 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpuapr2022cvrf.xml

https://www.oracle.com/security-alerts/cpuapr2022.html

プラグインの詳細

深刻度: High

ID: 159954

ファイル名: oracle_webcenter_portal_cpu_apr_2022.nasl

バージョン: 1.9

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2022/4/20

更新日: 2023/10/24

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2021-44832

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

CVSS スコアのソース: CVE-2020-25649

脆弱性情報

CPE: cpe:/a:oracle:webcenter_portal, cpe:/a:oracle:fusion_middleware

必要な KB アイテム: installed_sw/Oracle WebCenter Portal

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/4/19

脆弱性公開日: 2022/4/19

参照情報

CVE: CVE-2020-25649, CVE-2021-28657, CVE-2021-29425, CVE-2021-31812, CVE-2021-36090, CVE-2021-37137, CVE-2021-37714, CVE-2021-41165, CVE-2021-44832

IAVA: 2022-A-0171, 2023-A-0559