検出

Oracle Primavera P6 Enterprise Project Portfolio Management (2025 年 1 月 CPU)

medium Nessus プラグイン ID 214528

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Primavera P6 Enterprise Project Portfolio Management のバージョンは、2025 年 1 月 CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Oracle コンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性 (コンポーネント: ウェブアクセス)。サポートされているバージョンで影響を受けるのは、20.12.1.0-20.12.21.5、21.12.1.0-21.12.20.0、22.12.1.0-22.12.16.0、および 23.12.1.0-23.12.10.0 です。容易に悪用可能な脆弱性により、特権が低い攻撃者が HTTP を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのは Primavera P6 Enterprise Project Portfolio Management ですが、攻撃が他の製品に大きな影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Management がアクセスできるデータの一部への権限のない更新、挿入、削除アクセス、および Primavera P6 Enterprise Project Portfolio Management がアクセスできるデータのサブセットへの権限のない読み取りアクセスが引き起こされる可能性があります。(CVE-2025-21526)

 - Oracle コンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性 (コンポーネント: ウェブアクセス)。サポートされているバージョンで影響を受けるのは、20.12.1.0-20.12.21.5、21.12.1.0-21.12.20.0、22.12.1.0-22.12.16.0、および 23.12.1.0-23.12.10.0 です。容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。
 この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Management のアクセス可能なデータの一部に対して、不正な更新、挿入、または削除アクセスが発生する可能性があります。(CVE-2025-21528)

 - Oracle コンストラクションおよびエンジニアリングの Primavera P6 Enterprise Project Portfolio Management 製品の脆弱性 (コンポーネント: ウェブアクセス)。サポートされているバージョンで影響を受けるのは、20.12.1.0-20.12.21.5、21.12.1.0-21.12.20.0、22.12.1.0 です。容易に悪用可能な脆弱性により、特権が低い攻撃者が HTTP を使用してネットワークにアクセスし、Primavera P6 Enterprise Project Portfolio Management を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのは Primavera P6 Enterprise Project Portfolio Management ですが、攻撃が他の製品に大きな影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、Primavera P6 Enterprise Project Portfolio Management がアクセスできるデータの一部への権限のない更新、挿入、削除アクセス、および Primavera P6 Enterprise Project Portfolio Management がアクセスできるデータのサブセットへの権限のない読み取りアクセスが引き起こされる可能性があります。(CVE-2025-21558)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

January 2025 Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpujan2025csaf.json

https://www.oracle.com/security-alerts/cpujan2025.html

プラグインの詳細

深刻度: Medium

ID: 214528

ファイル名: oracle_primavera_p6_eppm_cpu_jan_2025.nasl

バージョン: 1.3

タイプ: remote

ファミリー: CGI abuses

公開日: 2025/1/23

更新日: 2025/1/24

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-21558

CVSS v3

リスクファクター: Medium

基本値: 5.4

現状値: 4.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:primavera_p6_enterprise_project_portfolio_management

必要な KB アイテム: www/weblogic, installed_sw/Oracle Primavera P6 Enterprise Project Portfolio Management (EPPM)

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/1/21

脆弱性公開日: 2025/1/21

参照情報

CVE: CVE-2025-21526, CVE-2025-21528, CVE-2025-21558

IAVA: 2025-A-0044