リモートホストにインストールされている Oracle Access Manager のバージョンに、2023 年 4 月の CPU アドバイザリからのセキュリティパッチがありません。そのため、以下の複数の脆弱性の影響を受けます。

  - Oracle Fusion Middleware の Oracle Access Manager 製品の脆弱性 (コンポーネント: サードパーティ (Jython))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Access Manager を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なく Oracle Access Manager をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2019-20916)

  - Oracle Fusion Middleware の Oracle Access Manager 製品の脆弱性 (コンポーネント: ビルドスクリプト (Jettison))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Access Manager を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なく Oracle Access Manager をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2022-40149)

  - Oracle Fusion Middleware の Oracle Access Manager 製品の脆弱性 (コンポーネント: サードパーティ (Zip4j))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Oracle Access Manager を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Access Manager がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。(CVE-2023-22899)

Nessus はこれらの問題を悪用したことはありませんが、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

検出

Oracle Access Manager の複数の脆弱性 (2023 年 4 月 CPU)

high Nessus プラグイン ID 174465

バージョン 1.1