リモートホストにインストールされている Oracle WebCenter Portal のバージョンには、2024 年 1 月の Critical Patch Update (CPU) からのセキュリティパッチがありません。したがって、以下の複数の脆弱性の影響を受けます。

  - Oracle Fusion Middleware の Oracle WebCenter Portal 製品の脆弱性 (コンポーネント:  セキュリティフレームワーク (Bouncy Castle Java Library))。容易に悪用可能な脆弱性があり、認証されていない攻撃者が LDAP を介してネットワークにアクセスし、Oracle WebCenter Portal を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle WebCenter Portal がアクセスできるサブセットのデータが、権限なしで読み取りアクセスされる可能性があります。(CVE-2023-33201)

  - Oracle Fusion Middleware の Oracle WebCenter Portal 製品の脆弱性 (コンポーネント:  セキュリティフレームワーク (Apache Solr))。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebCenter Portal を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle WebCenter Portal をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりする可能性があります。(CVE-2021-33813)

  - Oracle Fusion Middleware の Oracle WebCenter Portal 製品の脆弱性 (コンポーネント:  セキュリティフレームワーク (Apache Commons Compress))。簡単に悪用可能な脆弱性によって、認証されていない攻撃者が、Oracle WebCenter Portalが実行されているインフラストラクチャにログオンし、Oracle WebCenter Portalを侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle WebCenter Portal をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりする可能性があります。(CVE-2023-42503)

Nessus はこの問題を利用しておらず、代わりにアプリケーションの自己報告バージョン番号にのみ依存しています。

検出

Oracle WebCenter Portal の複数の脆弱性 (2024 年 1 月 CPU)

medium Nessus プラグイン ID 189118

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.2 Jan 19, 2024, 2:06 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202401191406
バージョン 1.1 Jan 18, 2024, 8:01 PM CVSSv3 severity (based on CVE-2023-44483, severity decreased from "High" to "Medium") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" set to "Exploits are available") CVSS metrics ("CVSSv3 score" set to 6.5. "CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") CVSSv3 score source (set to "CVE-2023-44483") Plugin Feed: 202401182001
バージョン 1.0 Jan 17, 2024, 5:08 PM New Plugin Feed: 202401171708