リモートホストにインストールされているPrimavera Unifierのバージョンは、2025年10月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームEnterprise Security API for Javaレガシー。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、HTTPS経由でPrimavera Unifierを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、一部のPrimavera Unifierアクセス可能データに対する承認されていない更新、挿入、削除アクセス、Primavera Unifierアクセス可能データのサブセットに対する承認されていない読み取りアクセス、およびPrimavera Unifierの部分的なサービス拒否（部分的なDOS）を引き起こす承認されていない機能につながる可能性があります。（CVE-2025-5878）

  - Oracle Construction and Engineering の Primavera Unifier製品の脆弱性コンポーネントDocument ManagementFreeType。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。悪用が難しい脆弱性ですが、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。(CVE-2025-27363)

  - Oracle Construction and EngineeringのPrimavera Unifier製品にある脆弱性コンポーネントDocument ManagementApache Commons FileUpload サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2025-48976)

  - Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームApache Commons Lang サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性により攻撃が成功すると、Primavera Unifier の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2025-48924)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Oracle Primavera Unifier2025年10月CPU

medium Nessus プラグイン ID 271244

バージョン 1.2

バージョン 1.1

バージョン 1.2 Oct 30, 2025, 2:57 PM CVSS metrics ("CVSSv2 score" set to 7.6) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C") CVSS metrics ("Cvssv4 threat score" set to 5.5) CVSSv2 score source (changed from "CVE-2025-5878" to "CVE-2025-27363") CVSSv3 score source (changed from "CVE-2025-27363" to none) Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202510301457
バージョン 1.1 Oct 23, 2025, 7:37 PM New Plugin Feed: 202510231937