Oracle HTTP Server (2025 年 7 月 CPU)

critical Nessus プラグイン ID 242271

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている HTTP Server のバージョンは、2025 年 7 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- libxml2 のバージョン 2.13.8 および 2.14.x 以前、2.14.2 以前では、xmlSchemaIDCFillNodeTables 関数 (xmlschemas.c 内) にヒープベースのバッファアンダーリードが存在します。これを悪用するには、細工された XML ドキュメントを特定の ID 制約のある XML スキーマに照らして検証するか、細工された XML スキーマを使用する必要があります。(CVE-2025-32415)

エクスプロイトが困難な脆弱性によって、認証されていない攻撃者が、Oracle HTTP Server が実行されているインフラストラクチャにログオンし、Oracle HTTP Server を侵害する可能性があります。脆弱性があるのは Oracle HTTP Server ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、重要なデータや Oracle HTTP Server がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle HTTP Server がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。(CVE-2024-56171)

- 容易に悪用可能な脆弱性により、認証されていない攻撃者が TLS を介してネットワークにアクセスし、Oracle HTTP Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、一部の Oracle HTTP Server のアクセス可能データに対する権限のない更新アクセス、挿入アクセス、削除アクセス、さらに、Oracle HTTP Server のアクセス可能データのサブセットに対する権限のない読み取りアクセスにつながり、権限なく Oracle HTTP Server の部分的サービス拒否 (部分的 DOS) を引を引き起こす可能性があります。(CVE-2025-0725)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。