リモートホストにインストールされている Oracle Essbase のバージョンに、2024 年 1 月の Critical Patch Update (CPU) からのセキュリティパッチがありません。したがって、以下の影響を受けます。

  - Oracle Essbase の脆弱性 (コンポーネント: Essbase Web Platform (OpenSSL))。容易に悪用可能な脆弱性があり、認証されていない攻撃者が TLS を介してネットワークにアクセスし、Oracle Essbase を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なしで Oracle Essbase をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2022-3602)

  - Oracle Essbase の脆弱性 (コンポーネント: Essbase Web Platform (curl))。容易に悪用可能な脆弱性があり、認証されていない攻撃者が SOCKS5 を介してネットワークにアクセスし、Oracle Essbase を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Essbase の乗っ取りが発生する可能性があります。(CVE-2023-38545)

  - Oracle Essbase の脆弱性 (コンポーネント: Essbase Web Platform (Apache Commons Compress))。簡単に悪用可能な脆弱性によって、認証されていない攻撃者が、Oracle Essbase が実行されているインフラストラクチャにログオンし、Oracle Essbase を危険にさらすことが可能です。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Oracle Essbase のハングまたは頻繁に繰り返し発生するクラッシュ (完全な DOS) を引き起こす可能性があります。(CVE-2023-42503) Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle Essbase の複数の脆弱性 (January 2024 CPU)

critical Nessus プラグイン ID 189117

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.3 Jan 19, 2024, 2:06 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202401191406
バージョン 1.2 Jan 18, 2024, 8:01 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" set to "Exploits are available") Plugin Feed: 202401182001
バージョン 1.1 Jan 17, 2024, 9:59 PM CEA reference Plugin Feed: 202401172159
バージョン 1.0 Jan 17, 2024, 5:08 PM New Plugin Feed: 202401171708