Oracle Business Intelligence Publisher 7.6 （OAS）（2025 年 4 月 CPU）

high Nessus プラグイン ID 234555

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているOracle Business Intelligence Publisher（OAS）のバージョンは、2025年4月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Analytics の Oracle BI Publisher 製品の脆弱性（コンポーネント：Development Operations（Apache Commons FileUpload））。サポートされているバージョンで影響を受けるのは、7.6.0.0.0 および 12.2.1.4.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が HTTP を介したネットワークアクセスにより Oracle BI Publisher を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なしで Oracle BI Publisher をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2023-24998)

- Oracle Analytics の Oracle BI Publisher 製品の脆弱性 (コンポーネント: Development Operations (Spring Framework))。サポートされているバージョンで影響を受けるのは 7.6.0.0.0 です。容易に悪用可能な脆弱性により、認証されていない攻撃者が、複数のプロトコルを介してネットワークにアクセスし、Oracle BI Publisherを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle BI Publisherがアクセスできる一部のデータが権限なしで更新、挿入、削除される可能性があります。（CVE-2024-38820）

- Oracle Analytics の Oracle BI Publisher 製品の脆弱性 (コンポーネント: XML Services)。サポートされているバージョンで影響を受けるのは、7.6.0.0.0 および 12.2.1.4.0です。容易に悪用できる脆弱性により、権限の低い攻撃者が HTTP を介してネットワークにアクセスし、Oracle BI Publisher を侵害する可能性があります。この脆弱性による攻撃が成功すると、Oracle BI Publisherがアクセスできる一部のデータに権限なしで更新、挿入、削除アクセスが発生し、権限なしでOracle BI Publisherの部分的サービス拒否（部分的DOS）を引き起こす可能性があります。（CVE-2025-30723）

- Oracle Analytics の Oracle BI Publisher 製品の脆弱性 (コンポーネント: XML Services)。サポートされているバージョンで影響を受けるのは、7.6.0.0.0 および 12.2.1.4.0です。容易に悪用できる脆弱性により、認証されていない攻撃者が HTTP を介したネットワークアクセスにより Oracle BI Publisher を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータが権限なしでアクセスされたり、Oracle BI Publisherがアクセスできるすべてのデータが完全にアクセスされたりする可能性があります。（CVE-2025-30724）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。