Oracle Database Server (2025 年 10 月 CPU)

high Nessus プラグイン ID 271256

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Oracle データベースサーバーのバージョンは、2025 年 10 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Database Server の SQLcl (jgit) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、23.4-23.9 です。悪用が難しい脆弱性ですが、HTTP を介したネットワークアクセスで有効なアカウント権限を持つ、権限の低い攻撃者が、SQLcl (jgit) を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性による攻撃が成功すると、重要なデータに不正にアクセスしたり、SQLcl (jgit) がアクセスできるすべてのデータに完全にアクセスしたりできる可能性があります。
(CVE-2025-4949)

- Oracle Database Server の RDBMS (Python) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、21.3-21.19 および 23.4-23.9です。容易に悪用できる脆弱性により、RDBMS (Python) が実行されているインフラストラクチャにログオンした権限の低い攻撃者が、認証済みのユーザー権限を持ち、RDBMS (Python) を侵害します。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性への攻撃が成功した場合、RDBMS (Python) の乗っ取りが発生する可能性があります。
(CVE-2024-12254、CVE-2024-12718、CVE-2024-6923、CVE-2024-8088、CVE-2025-1795、CVE-2025-4138、CVE-2025-4330、CVE-2025-4435、CVE-2025-4517)

- Oracle Database Server の Java VM コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.28、21.3-21.19、23.4-23.9 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が Oracle Net を使用してネットワークにアクセスし、Java VM を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Java VM がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。(CVE-2025-61881)

- Oracle Database Server の Portable Clusterware コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.28、21.3-21.19、23.4-23.9 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が Bonjour を介してネットワークにアクセスし、Portable Clusterware を侵害する可能性があります。脆弱性があるのは Portable Clusterware ですが、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。この脆弱性に対する攻撃が成功すると、Portable Clusterware がアクセスできるサブセットのデータが、不正に読み取りアクセスされる可能性があります。(CVE-2025-53047)

- Oracle Database Server の Unified Audit コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、23.4-23.9 です。容易に悪用可能な脆弱性により、DBA 権限を持つ権限の高い攻撃者が、Oracle Net を介したネットワークアクセスにより、Unified Audit を侵害する可能性があります。この脆弱性に対して攻撃が成功すると、Unified Audit がアクセスできるいくつかのデータを、権限なしで更新、挿入、または削除可能になります。(CVE-2025-61749)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。