リモートホストにインストールされている Oracle Essbase のバージョンに、2025 年 10 月 Critical Patch Update (CPU) からのセキュリティパッチがありません。したがって、以下の影響を受けます。

  - Oracle Essbaseの脆弱性コンポーネントセキュリティおよびプロビジョニングBouncy Castle Javaライブラリ。サポートされているバージョンで影響を受けるのは 21.7.3.0.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、Oracle Essbase を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Essbaseの部分的なサービス拒否部分的DOSが権限なしで引き起こされる可能性があります。CVE-2025-8916

  - Oracle Essbaseの脆弱性コンポーネントセキュリティおよびプロビジョニングNimbus JOSE+JWT。サポートされているバージョンで影響を受けるのは 21.7.3.0.0 です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、HTTPを介してOracle Essbaseを侵害する可能性があります。Oracle Essbase に脆弱性がありますが、攻撃が他の製品に大きな影響を与える可能性があります範囲変更。この脆弱性に対する攻撃が成功すると、Oracle Essbaseの部分的なサービス拒否部分的DOSが権限なしで引き起こされる可能性があります。CVE-2025-53864

  - Oracle Essbase の脆弱性コンポーネント Essbase Web Platform。サポートされているバージョンで影響を受けるのは 21.7.3.0.0 です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ権限の低い攻撃者が、HTTPを介してOracle Essbaseを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータまたはOracle Essbaseがアクセスできるすべてのデータに権限なしで作成、削除、変更され、重要なデータに権限なしでアクセスできるようになったり、Oracle Essbaseがアクセスできるすべてのデータに権限なしでアクセスできるようになったりします。 NessusはこれらのCVE-2025-61763問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされているPrimavera Unifierのバージョンは、2025年10月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームEnterprise Security API for Javaレガシー。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ認証されていない攻撃者が、HTTPS経由でPrimavera Unifierを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、一部のPrimavera Unifierアクセス可能データに対する承認されていない更新、挿入、削除アクセス、Primavera Unifierアクセス可能データのサブセットに対する承認されていない読み取りアクセス、およびPrimavera Unifierの部分的なサービス拒否（部分的なDOS）を引き起こす承認されていない機能につながる可能性があります。（CVE-2025-5878）

  - Oracle Construction and Engineering の Primavera Unifier製品の脆弱性コンポーネントDocument ManagementFreeType。サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。悪用が難しい脆弱性ですが、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。(CVE-2025-27363)

  - Oracle Construction and EngineeringのPrimavera Unifier製品にある脆弱性コンポーネントDocument ManagementApache Commons FileUpload サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2025-48976)

  - Oracle Construction and EngineeringのPrimavera Unifier製品の脆弱性コンポーネントプラットフォームApache Commons Lang サポートされているバージョンで影響を受けるのは、20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 および 24.12.0-24.12.9です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性により攻撃が成功すると、Primavera Unifier の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2025-48924)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - ESAPI esapi-java-legacy に脆弱性が見つかり、問題があるものに分類されました。この問題は、SQL インジェクション防御のインターフェース Encoder.encodeForSQL に影響を与えます。攻撃は、特別な要素の不適切な中立化につながります。攻撃はリモートで開始され、悪用が一般に漏洩しています。
    プロジェクトはこの問題について早期に連絡され、例外的なレベルの専門性で処理されました。バージョン 2.7.0.0 にアップグレードすると、この問題に対処できます。コミット ID f75ac2c2647a81d2cfbdc9c899f8719c240ed512 はこの機能をデフォルトで無効にしており、これを使用しようとすると警告が発生します。コミット ID e2322914304d9b1c52523ff24be495b7832f6a56 は、リスクについて警告するために誤解を招く Java クラスのドキュメントを更新しています。CVE-2025-5878

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートのDebian 11ホストには、dla-4246アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    -------------------------------------------------- ----------------------- Debian LTS アドバイザリ DLA-4246-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    パッケージ libowasp-esapi-java バージョン 2.4.0.0-0+deb11u1 CVE ID CVE-2022-23457 CVE-2022-24891 CVE-2025-5878 Debian バグ1010339 1109378

    Java Enterprise Security API である libowasp-esapi-java に複数のセキュリティの脆弱性が発見されました。

    CVE-2022-23457:

        ESAPI (OWASP Enterprise Security API) は、無料のオープンソースのウェブアプリケーションセキュリティコントロールライブラリです。この更新より前の「Validator.getValidDirectoryPath(String, String, File, boolean)」のデフォルト実装は、テストされた入力文字列を指定された親ディレクトリの子として不適切に扱う可能性があります。これにより、攻撃者が「入力」パスを表す文字列全体を指定できる場合、制御フローバイパスチェックを無効にできる可能性があります。

    CVE-2022-24891:

        ESAPI にクロスサイトスクリプティングの脆弱性の可能性があります。これは、
        **antisamy-esapi.xml** 構成ファイルにより、javascript: URL を正しくサニタイズできません。

    CVE-2025-5878:

        この問題は、SQL インジェクション防御のインターフェース Encoder.encodeForSQL に影響を与えます。攻撃は、特別な要素の不適切な中立化につながります。Debian で影響を受ける逆依存関係は認識されていませんが、スタンドアロンプロジェクトで ESAPI を使用している場合は、Encoder.encodeForSQL メソッドが廃止され、最終的に削除されることに留意してください。さらに、DB2Codec、MySQLCodec および OracleCodec のクラスも廃止されました。プロジェクトがこれらのクラスとメソッドの影響を受けるかどうか、およびアプリケーションを保護するために追加のステップを実装する必要があるかどうかを、慎重に評価することを推奨しています。の更新は、潜在的なリスクから自動的に保護されません。

    Debian 11 Bullseyeでは、これらの問題はバージョン2.4.0.0-0+deb11u1で修正されました。

    libowasp-esapi-java パッケージをアップグレードすることを推奨します。

    libowasp-esapi-java の詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
    https://security-tracker.debian.org/tracker/libowasp-esapi-java

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: これはデジタル署名されたメッセージ部分です

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS ホストには USN-8181-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Jaroslav Lobaevski氏は、パス検証中にESAPIがディレクトリパスを誤って検証することを発見しました。
    攻撃者がこの問題を利用して、ディレクトリ検証チェックをバイパスし、制御フローのバイパスを引き起こす可能性があります。この問題は、Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、および Ubuntu 22.04 LTS にのみ影響を与えます。(CVE-2022-23457)

    Kevin W. Wall 氏と Sebastian Passaro 氏は、正規表現が正しくないため、ESAPI が javascript URL を適切にサニタイズしないことを発見しました。攻撃者は、この問題を利用して、クロスサイトスクリプティング攻撃を仕掛ける可能性があります。この問題は、Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、および Ubuntu 22.04 LTS にのみ影響を与えます。(CVE-2022-24891)

    Longlong Gong氏は、SQLインジェクション防御中にESAPIが特別な要素を適切に中立化しないことを発見しました。リモートの攻撃者がこの問題を悪用して、SQLインジェクションを仕掛ける可能性があります。CVE-2025-5878

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
271378	Oracle Essbase の複数の脆弱性2025 年 10 月 CPU	Nessus	Misc.	2025/10/24	2026/2/24	high
271244	Oracle Primavera Unifier2025年10月CPU	Nessus	CGI abuses	2025/10/23	2025/10/30	medium
247283	Linux Distros のパッチ未適用の脆弱性: CVE-2025-5878	Nessus	Misc.	2025/8/10	2026/4/29	medium
242493	Debian dla-4246 : libowasp-esapi-java - セキュリティ更新	Nessus	Debian Local Security Checks	2025/7/22	2025/7/22	medium
307008	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTSESAPI の脆弱性USN-8181-1	Nessus	Ubuntu Local Security Checks	2026/4/17	2026/4/17	medium

検出

プラグインの検索

high

medium

medium

medium

medium