リモートホストにインストールされている Primavera Unifier のバージョンは、2022 年 10 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性 (コンポーネント：ドキュメント管理 (Apache Solr))。サポートされているバージョンで影響を受けるのは、18.8、19.12、20.12、および21.12です。容易に悪用可能な脆弱性により、権限の低い攻撃者がHTTPを介してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifierの乗っ取りが発生する可能性があります。
    (CVE-2020-9492)

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性 (コンポーネント：ユーザーインターフェイス (Enterprise Security API))。サポートされているバージョンで影響を受けるのは、18.8、19.12、20.12、および21.12です。悪用が難しい脆弱性ですが、権限の低い攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。(CVE-2022-23457)

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性 (コンポーネント：ユーザーインターフェイス (Moment.js))。サポートされているバージョンで影響を受けるのは、19.12、20.12、21.12 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性により攻撃が成功すると、Primavera Unifier の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2022-31129)

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性 (コンポーネント：ドキュメント管理 (Apache Tika))。サポートされているバージョンで影響を受けるのは、18.8、19.12、20.12、および21.12です。簡単に悪用可能な脆弱性により、権限のない攻撃者が、Primavera Unifierが実行されているインフラストラクチャにログオンし、Primavera Unifierを危険にさらす可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性により攻撃が成功すると、Primavera Unifier の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2022-33879)

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の多層セキュリティ問題 (コンポーネント: プラットフォーム、ユーザーインターフェイス (Apache Velocity Engine))。この脆弱性は、この製品のコンテキストでは悪用できません。(CVE-2020-13936)

  - Oracle コンストラクションおよびエンジニアリングの Primavera Unifier 製品の多層セキュリティ問題 (コンポーネント: ドキュメント管理 (Apache ZooKeeper)。この脆弱性は、この製品のコンテキストでは悪用できません。(CVE-2020-7712)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle Primavera Unifier (2022 年 10 月 CPU)

critical Nessus プラグイン ID 166305

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.2

バージョン 1.6 Oct 9, 2023, 5:00 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202310091700
バージョン 1.5 Jan 19, 2023, 6:11 PM IAVM reference Plugin Feed: 202301191811
バージョン 1.4 Oct 21, 2022, 5:04 PM CVSSv3 score source (Changed from None to CVE-2022-23457) CVSS metrics CVSSv2 score source (Changed from CVE-2020-9492 to CVE-2020-13936) CVSSv2 severity (Based on CVE-2020-13936 severity increased from Medium to High) Plugin Feed: 202210211704
バージョン 1.2 Oct 20, 2022, 11:46 AM New Plugin Feed: 202210201146