偵測

Oracle Primavera 閘道多個弱點 (2019 年 7 月 CPU)

critical Nessus Plugin ID 126828

語系:

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響。

說明

根據其自我報告版本號碼,遠端網頁伺服器上執行的 Oracle Primavera 閘道是比 15.2.16 舊的 15.x 版、比 16.2.9 舊的 16.x 版、比 17.12.4 舊的 17.x 版或比 18.8.6 舊的 18.x 版。因此,會受到多個弱點影響: - 在 5.1 版、5.0.10 之前的 5.0 版、4.3.20 之前的 4.3 版及 4.2.x 分支上較舊不受支援版本的 Spring Framework 中有一個不明弱點,惡意使用者可藉以新增具有大規模範圍的範圍標頭、新增具有重疊寬範圍的範圍標頭,或同時新增前兩者,來造成拒絕服務。(CVE-2018-15756) - FasterXML jackson-databind 2.9.8 之前的 2.x 可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 axis2-transport-jms 類別,造成不明影響。(CVE-2018-19360) - FasterXML jackson-databind 2.9.8 之前的 2.x 可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 openjpa 類別,造成不明影響。(CVE-2018-19361) - FasterXML jackson-databind 2.9.8 之前的 2.x 可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 jboss-common-core 類別,造成不明影響。(CVE-2018-19362) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Oracle Primavera 閘道 15.2.16 / 16.2.9 / 17.12.4 / 18.8.6 版或更新版本。

另請參閱

http://www.nessus.org/u?25a1b782

http://www.nessus.org/u?b5f18b61

Plugin 詳細資訊

嚴重性: Critical

ID: 126828

檔案名稱: oracle_primavera_gateway_cpu_jul_2019.nasl

版本: 1.4

類型: remote

系列: CGI abuses

已發布: 2019/7/19

已更新: 2022/12/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2018-19362

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:primavera_gateway

必要的 KB 項目: installed_sw/Oracle Primavera Gateway

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/7/16

弱點發布日期: 2019/7/16

參考資訊

CVE: CVE-2018-15756, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362

BID: 105703, 107985