Oracle Business Process Management Suite (2025 年 4 月 CPU)

critical Nessus プラグイン ID 234503

概要

リモートホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Oracle Business Process Management Suite のバージョンは、2025 年 4 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。次のようなものがあります。

- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: コンポーザー、共通 (Apache Commons Compress))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。簡単に悪用可能な脆弱性によって、認証されていない攻撃者が、Oracle Business Process Management Suite が実行されているインフラストラクチャにログオンし、Oracle Business Process Management Suite を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Business Process Management Suite をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりすることができるようになります。(CVE-2024-25710)

- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: プラグイン (Apache FOP)) サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータに権限なしにアクセスしたり、Oracle Business Process Management Suite がアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。(CVE-2024-28168)

- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (component:
コンポーザー、サードパーティ (Apache Avro))。サポートされているバージョンで影響を受けるのは 12.2.1.4.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、Oracle Business Process Management Suite のアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスおよび Oracle Business Process Management Suite のアクセス可能なデータのサブセットへの読み取りアクセスおよび認証されていない権限により Oracle Business Process Management Suite の部分的なサービス拒否 (部分 DOS) が引き起こされる可能性があります。(CVE-2024-47561)

- Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: Runtime Engine (Apache Mina))。サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Business Process Management Suite の乗っ取りが発生する可能性があります。(CVE-2024-52046)


Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

2025 年 4 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/security-alerts/cpuapr2025.html

プラグインの詳細

深刻度: Critical

ID: 234503

ファイル名: oracle_bpm_cpu_apr_2025.nasl

バージョン: 1.3

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/4/16

更新日: 2025/6/20

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-52046

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:oracle:business_process_management_suite

必要な KB アイテム: installed_sw/Oracle Business Process Manager

パッチ公開日: 2025/4/15

脆弱性公開日: 2025/4/15

参照情報

CVE: CVE-2024-25710, CVE-2024-26308, CVE-2024-28168, CVE-2024-47561, CVE-2024-52046

IAVA: 2025-A-0268