Oracle Primavera Unifier (2025 年 10 月 CPU)

medium Nessus Plugin ID 271244

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Primavera Unifier 版本受到 2025 年 10 月 CPU 公告中所提及的多個弱點影響。

- Oracle Construction and Engineering (元件Platform (Enterprise Security API for Java (Legacy))) 中 Primavera Unifier 產品中的弱點。受影響的支援版本是 20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 和 24.12.0-24.12.9。可輕鬆惡意利用的弱點允許具有網路存取權的未經驗證的攻擊者透過 HTTPS 來入侵 Primavera Unifier。若成功攻擊此弱點，則可在未經授權的情況下地更新、插入或刪除某些 Primavera Unifier 可存取資料，在未經授權的情況下讀取 Primavera Unifier 可存取資料的子集，並能夠造成 Primavera Unifier 部分拒絕服務 (部分 DOS)。(CVE-2025-5878)

- Oracle Construction and Engineering (元件Document Management (FreeType)) 中 Primavera Unifier 產品中的弱點。受影響的支援版本是 20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 和 24.12.0-24.12.9。難以惡意利用的弱點允許具有網路存取權的未經驗證攻擊者透過 HTTP 來入侵 Primavera Unifier。若成功攻擊此弱點，可導致 Primavera Unifier 被接管。(CVE-2025-27363)

- Oracle Construction and Engineering (元件Document Management (Apache Commons FileUpload)) 的 Primavera Unifier 產品中的弱點。受影響的支援版本是 20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 和 24.12.0-24.12.9。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Primavera Unifier。若成功攻擊此弱點，可能導致攻擊者在未經授權的情況下，造成 Primavera Unifier 懸置或經常重複性當機 (完全 DOS)。(CVE-2025-48976)

- Oracle Construction and Engineering (元件Platform (Apache Commons Lang)) 的 Primavera Unifier 產品中的弱點。受影響的支援版本是 20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.15 和 24.12.0-24.12.9。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Primavera Unifier。若攻擊成功，攻擊者未經授權即可造成 Primavera Unifier 部分拒絕服務 (部分 DOS)。(CVE-2025-48924)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。