Oracle Primavera Unifier2025年10月CPU

medium Nessus プラグイン ID 271244

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているPrimavera Unifierのバージョンは、2025年10月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームEnterprise Security API for Javaレガシー。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、HTTPS経由でPrimavera Unifierを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、一部のPrimavera Unifierアクセス可能データに対する承認されていない更新、挿入、削除アクセス、Primavera Unifierアクセス可能データのサブセットに対する承認されていない読み取りアクセス、およびPrimavera Unifierの部分的なサービス拒否（部分的なDOS）を引き起こす承認されていない機能につながる可能性があります。（CVE-2025-5878）

- Oracle Construction and Engineering の Primavera Unifier製品の脆弱性コンポーネントDocument ManagementFreeType。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。悪用が難しい脆弱性ですが、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。(CVE-2025-27363)

- Oracle Construction and EngineeringのPrimavera Unifier製品にある脆弱性コンポーネントDocument ManagementApache Commons FileUpload サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2025-48976)

- Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームApache Commons Lang サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性により攻撃が成功すると、Primavera Unifier の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2025-48924)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。