Oracle Identity Manager2026 年 4 月 CPU

medium Nessus プラグイン ID 309960

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Identity Manager の 12.2.1.4.0 バージョンは、2026 年 4 月 CPU アドバイザリで言及されているように、複数の脆弱性の影響を受けます

- Eclipse Jetty バージョン 9.4.0 から 9.4.56 では、リクエスト本文を拡大する際に gzip エラーに遭遇したときに、バッファが不適切に解放される可能性があります。これにより、リクエスト間でデータが破損したり、不注意で共有されたりする可能性があります。CVE-2024-13009

- Oracle Fusion MiddlewareのOracle Identity Manager製品の脆弱性コンポーネントIdentity Console。容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Identity Manager を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性があるのはOracle Identity Managerですが、攻撃が他の製品に大きな影響を与える可能性があります範囲の変更。この脆弱性に対する攻撃が成功すると、Oracle Identity Managerがアクセスできる一部のデータに権限なしでアクセスし、更新、挿入、削除したり、さらにOracle Identity Managerがアクセスできるデータのサブセットに権限なしで読み取りアクセスをする可能性があります。CVE-2026-34283

- Apache Log4j Core バージョン 2.0-beta9 から 2.25.2 の Socket Appender は、verifyHostName 構成属性または log4j2.sslVerifyHostName システムプロパティが true に設定されている場合でも、ピア証明書の TLS ホスト名検証を実行しません。この問題により、中間にいる攻撃者が、以下の条件下でログトラフィックを傍受またはリダイレクトする可能性があります。* 攻撃者は、クライアントとログレシーバー間のネットワークトラフィックを傍受またはリダイレクトできます。 * 攻撃者は、 Socket Appender の構成済みトラストストアまたはカスタムトラストストアが構成されていない場合はデフォルトの Java トラストストアによって信頼されている認証局により発行されたサーバー証明書を提示する可能性があります。ユーザーは、この問題に対処する Apache Log4j Core バージョン 2.25.3にアップグレードすることが推奨されます。別の緩和策として、Socket Appender は、信頼できる証明書のセットを制限するために、プライベートまたは制限された信頼ルートを使用するように構成される可能性があります。CVE-2025-68161

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。