Oracle Business Process Management Suite (2025 年 4 月 CPU)
critical Nessus プラグイン ID 234503
Language:
概要
リモートホストは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Oracle Business Process Management Suite のバージョンは、2025 年 4 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。次のようなものがあります。- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: コンポーザー、共通 (Apache Commons Compress))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。簡単に悪用可能な脆弱性によって、認証されていない攻撃者が、Oracle Business Process Management Suite が実行されているインフラストラクチャにログオンし、Oracle Business Process Management Suite を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Business Process Management Suite をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりすることができるようになります。(CVE-2024-25710)
- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: プラグイン (Apache FOP)) サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに権限なしにアクセスしたり、Oracle Business Process Management Suite がアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。(CVE-2024-28168)
- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (component:
コンポーザー、サードパーティ (Apache Avro))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、Oracle Business Process Management Suite のアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスおよび Oracle Business Process Management Suite のアクセス可能なデータのサブセットへの読み取りアクセスおよび認証されていない権限により Oracle Business Process Management Suite の部分的なサービス拒否 (部分 DOS) が引き起こされる可能性があります。(CVE-2024-47561)
- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: Runtime Engine (Apache Mina))。サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Business Process Management Suite の乗っ取りが発生する可能性があります。(CVE-2024-52046)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
2025 年 4 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 234503
ファイル名: oracle_bpm_cpu_apr_2025.nasl
バージョン: 1.3
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2025/4/16
更新日: 2025/6/20
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-52046
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: cpe:/a:oracle:business_process_management_suite
必要な KB アイテム: installed_sw/Oracle Business Process Manager
パッチ公開日: 2025/4/15
脆弱性公開日: 2025/4/15
参照情報
CVE: CVE-2024-25710, CVE-2024-26308, CVE-2024-28168, CVE-2024-47561, CVE-2024-52046
IAVA: 2025-A-0268