偵測

Oracle Business Process Management Suite (2020 年 10 月 CPU)

critical Nessus Plugin ID 142210

語系:

概要

遠端主機受到多個弱點影響。

說明

遠端主機上安裝的 Oracle Business Process Management Suite 版本受到 2020 年 10 月 CPU 公告中所提及的下列弱點影響:

- Runtime Engine 中的弱點 (Application Development Framework)。能夠透過 HTTP 存取網路的未經驗證攻擊者可利用此問題入侵 Oracle Business Process Management Suite。若要成功攻擊,必須有攻擊者以外之他人的互動,且雖然弱點位於 Oracle Business Process Management Suite 中,但攻擊可能對其他產品造成重大影響。若成功攻擊此弱點,則可在未經授權的情況下,更新、插入或刪除某些 Oracle Business Process Management Suite 可存取資料,並在未經授權的情況下讀取 Oracle Business Process Management Suite 可存取資料的子集。(CVE-2019-2904)

 - Runtime Engine 中的弱點 (Apache Ant)。經驗證的本機攻擊者可利用此問題入侵 Oracle Business Process Management Suite。若成功攻擊此弱點,則可在未經授權的情況下建立、刪除或修改重要資料或所有 Oracle Business Process Management Suite 可存取資料,並在未經授權的情況下存取重要資料或完全存取所有 Oracle Business Process Management Suite 可存取資料。(CVE-2020-1945)

 - Runtime Engine 中的弱點 (jQuery)。能夠透過 HTTP 存取網路的未經驗證攻擊者可利用此問題入侵 Oracle Business Process Management Suite。若要成功攻擊,必須有攻擊者以外之他人的互動,且雖然弱點位於 Oracle Business Process Management Suite 中,但攻擊可能對其他產品造成重大影響。若成功攻擊此弱點,則可在未經授權的情況下,更新、插入或刪除某些 Oracle Business Process Management Suite 可存取資料,並在未經授權的情況下讀取 Oracle Business Process Management Suite 可存取資料的子集。(CVE-2019-11358)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

按照「2020 年 10 月 Oracle 重大修補程式更新」公告,套用適當的修補程式。

另請參閱

https://www.oracle.com/security-alerts/cpuoct2020.html

Plugin 詳細資訊

嚴重性: Critical

ID: 142210

檔案名稱: oracle_bpm_cpu_oct_2020.nasl

版本: 1.6

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2020/11/2

已更新: 2024/2/12

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2019-2904

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:business_process_management_suite

必要的 KB 項目: installed_sw/Oracle Business Process Manager

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/10/20

弱點發布日期: 2020/10/20

參考資訊

CVE: CVE-2019-11358, CVE-2019-2904, CVE-2020-1945, CVE-2020-1951, CVE-2020-9484

BID: 108023