Oracle Agile Product Lifecycle Management (PLM) 9.3.6.x < 9.3.6.26

high Nessus プラグイン ID 216910

概要

リモートホストは、複数の脆弱性の影響を受けます。

説明

リモートホストの Oracle Agile Product Lifecycle Management (PLM) のバージョンは 9.3.6.26 より前の 9.3.6.x です。そのため、以下を含む複数の脆弱性による影響を受けます:

- Oracle Supply Chain の Oracle Agile PLM 製品の脆弱性 (コンポーネント: Export)。サポートされているバージョンで影響を受けるのは 9.3.6 です。容易に悪用可能な脆弱性により、権限が低い攻撃者が HTTP を介してネットワークにアクセスし、Oracle Agile PLM を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Agile PLM の乗っ取りが発生する可能性があります。(CVE-2024-20953)
- HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームを迅速にリセットできるため、サービス拒否 (サーバーリソースの消費) を引き起こすことができます。これは、2023 年 8 月から 10 月まで、野放しで悪用されていました。(CVE-2023-44487)
- 問題が発見されました。htmlcleaner thru = 2.28 により、攻撃者が循環依存関係を使用する細工されたオブジェクトを介して、サービス拒否を引き起こしたり、他の詳細不明な影響を及ぼしたりする可能性があります。(CVE-2023-34624)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Oracle Agile Product Lifecycle Management (PLM) バージョン 9.3.6.26 以降にアップグレードしてください

参考資料

http://www.nessus.org/u?05d9c42d

プラグインの詳細

深刻度: High

ID: 216910

ファイル名: oracle_agile_plm_9_3_6_26.nasl

バージョン: 1.3

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/2/27

更新日: 2025/2/28

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-20953

CVSS v3

リスクファクター: High

基本値: 7.1

現状値: 6.6

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2023-2976

脆弱性情報

CPE: cpe:/a:oracle:agile_plm

必要な KB アイテム: installed_sw/Oracle Agile Product Lifecycle Management (PLM)

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/1/16

脆弱性公開日: 2024/1/16

CISA の既知の悪用された脆弱性の期限日: 2023/10/31, 2025/3/17

参照情報

CVE: CVE-2023-2976, CVE-2023-34624, CVE-2023-42794, CVE-2023-42795, CVE-2023-44487, CVE-2023-45648, CVE-2024-20953