検出

Oracle E-Business Suite (2024 年 4 月 CPU)

critical Nessus プラグイン ID 193570

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Oracle E-Business Suite のバージョンは、2024 年 4 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Oracle E-Business Suite の Oracle Workflow 製品における脆弱性 (コンポーネント: Admin Screens および Grants UI)。サポートされているバージョンで影響を受けるのは、12.2.3-12.2.13 です。容易に悪用できる脆弱性により、権限が高い攻撃者が HTTP を介してネットワークにアクセスし、Oracle Workflow を侵害する可能性があります。この脆弱性が Oracle Workflow に存在する間は、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。
 この脆弱性の攻撃が成功すると、Oracle Workflow の乗っ取りにつながる可能性があります。(CVE-2024-21071)

 - Oracle E-Business Suite の Oracle Production Scheduling 製品における脆弱性 (コンポーネント: インポートユーティリティ)。サポートされているバージョンで影響を受けるのは、12.2.4-12.2.12 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Production Scheduling が侵害される可能性があります。
 この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Production Scheduling がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。(CVE-2024-21088)

 - Oracle E-Business Suite の Oracle Marketing 製品における脆弱性 (コンポーネント: Campaign LOV)。
 サポートされているバージョンで影響を受けるのは、12.2.3-12.2.13 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Marketing を侵害する可能性があります。この脆弱性による攻撃が成功すると、権限なしで重要なデータにアクセスできるようになるか、Oracle Marketing がアクセスできるすべてのデータに完全にアクセスできるようになります。(CVE-2024-21079)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

2024 年 4 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpuapr2024csaf.json

https://www.oracle.com/security-alerts/cpuapr2024.html

プラグインの詳細

深刻度: Critical

ID: 193570

ファイル名: oracle_e-business_cpu_apr_2024.nasl

バージョン: 1.0

タイプ: remote

ファミリー: Misc.

公開日: 2024/4/19

更新日: 2024/4/19

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-21071

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:e-business_suite

必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/4/16

脆弱性公開日: 2024/4/16

参照情報

CVE: CVE-2024-20990, CVE-2024-21016, CVE-2024-21017, CVE-2024-21018, CVE-2024-21019, CVE-2024-21020, CVE-2024-21021, CVE-2024-21022, CVE-2024-21023, CVE-2024-21024, CVE-2024-21025, CVE-2024-21026, CVE-2024-21027, CVE-2024-21028, CVE-2024-21029, CVE-2024-21030, CVE-2024-21031, CVE-2024-21032, CVE-2024-21033, CVE-2024-21034, CVE-2024-21035, CVE-2024-21036, CVE-2024-21037, CVE-2024-21038, CVE-2024-21039, CVE-2024-21040, CVE-2024-21041, CVE-2024-21042, CVE-2024-21043, CVE-2024-21044, CVE-2024-21045, CVE-2024-21046, CVE-2024-21048, CVE-2024-21071, CVE-2024-21072, CVE-2024-21073, CVE-2024-21074, CVE-2024-21075, CVE-2024-21076, CVE-2024-21077, CVE-2024-21078, CVE-2024-21079, CVE-2024-21080, CVE-2024-21081, CVE-2024-21086, CVE-2024-21088, CVE-2024-21089