リモートホストにインストールされている MySQL Enterprise Monitor のバージョンは、2023 年 7 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント: Monitoring: General (OpenSSL))。影響を受けるサポート対象のバージョンは 8.0.34 以前です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、複数のプロトコルを介してMySQL Enterprise Monitorを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Enterprise Monitorをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。(CVE-2023-2650)

  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント :  Monitoring: General (Spring Security))。影響を受けるサポート対象のバージョンは 8.0.34 以前です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、複数のプロトコルを介して MySQL Enterprise Monitor を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Enterprise Monitorの乗っ取りが発生する可能性があります。(CVE-2023-20862)

  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント: Monitoring: General (Apache Commons FileUpload))。影響を受けるサポート対象のバージョンは 8.0.34以前です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、複数のプロトコルを介して MySQL Enterprise Monitor を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Enterprise Monitor をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。
    (CVE-2023-24998)

  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント: Monitoring: 一般 (Apache Tomcat))。影響を受けるサポート対象のバージョンは 8.0.34以前です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、複数のプロトコルを介してMySQL Enterprise Monitorを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なくMySQL Enterprise Monitorをハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全なDOS) があります。(CVE-2023-28709)

  - Oracle MySQL の MySQL Enterprise Monitor 製品における脆弱性 (コンポーネント :  Monitoring: General (Apache Ivy))。影響を受けるサポート対象のバージョンは 8.0.34 以前です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、複数のプロトコルを介して MySQL Enterprise Monitor を侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、重要なデータや MySQL Enterprise Monitor がアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、MySQL Enterprise Monitor でハングを引き起こしたり、頻繁にクラッシュを繰り返したりする (完全な DOS) 可能性があります。
    (CVE-2022-37865)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Oracle MySQL Enterprise Monitor (2023 年 7 月 CPU)

critical Nessus プラグイン ID 178719

バージョン 1.1