Oracle Enterprise Manager Cloud Control (2024 年 1 月 CPU)

medium Nessus Plugin ID 189242

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Enterprise Manager 的 Enterprise Manager Base Platform 產品 13.5.0.0 版受到 2024 年 1 月 CPU 公告中提及的多個弱點影響：

- Enterprise Manager Base Platform 的 Agent Next Gen (jackson-databind) 和 Extensibility Framework (jackson-databind) 元件中存在弱點。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。攻擊者若成功攻擊此弱點，則可在未經授權的情況下造成 Oracle Enterprise Manager Base Platform 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-42003)

- Enterprise Manager Base Platform 的 Agent Next Gen (Jettison) 元件存在弱點。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。攻擊者若成功攻擊此弱點，則可在未經授權的情況下造成 Oracle Enterprise Manager Base Platform 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-1436)

- Enterprise Manager Base Platform 的 Log Management 元件存在弱點。攻擊此弱點的難度較大，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。若要成功攻擊，必須有攻擊者以外之他人進行互動；雖然此弱點位於 Oracle Enterprise Manager Base Platform 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。攻擊者若成功攻擊此弱點，則可在未經授權的情況下存取關鍵資料，或完整存取所有 Oracle Enterprise Manager Base Platform 可存取資料，還可在未經授權的情況下更新、插入或刪除部分 Oracle Enterprise Manager Base Platform 可存取資料，以及能夠在未經授權的情況下造成 Oracle Enterprise Manager Base Platform 部分拒絕服務 (部分 DOS)。(CVE-2024-20917) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼進行判斷。