Oracle Identity Manager (2025 年 1 月 CPU)

high Nessus プラグイン ID 214531

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Identity Manager のバージョン 12.2.1.4.0 は、2025 年 1 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Fusion Middleware の Oracle Identity Manager 製品の脆弱性 (コンポーネント: インストーラ (Spring Framework))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Identity Manager を侵害する可能性があります。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、Oracle Identity Manager がアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。(CVE-2024-38819)
- 関数型ウェブフレームワークである WebMvc.fn または WebFlux.fn を通じて静的リソースを提供するアプリケーションは、パストラバーサル攻撃に対して脆弱です。攻撃者は、悪意のある HTTP リクエストを細工し、Spring アプリケーションが実行されているプロセスからもアクセス可能なファイルシステム上の任意のファイルを取得することができます。
具体的には、次の両方に該当する場合、アプリケーションは脆弱です。* ウェブアプリケーションが RouterFunctions を使用して静的リソースを提供している。* リソース処理が FileSystemResource の場所で明示的に設定されている。ただし、次のうちいずれかに該当する場合、悪意のあるリクエストはブロックされ、拒否されます。* Spring Security HTTP ファイヤーウォール https://docs.spring.io/spring-security/reference/servlet/exploits/firewall.html が使用されている。* アプリケーションが Tomcat または Jetty (CVE-2024-38816) 上で実行されている。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。