Oracle Identity Manager (2026 年 4 月 CPU)
medium Nessus Plugin ID 309960
語言:
概要
遠端主機受到多個弱點影響說明
遠端主機上安裝的 12.2.1.4.0 版本 Identity Manager 受到 2026 年 4 月 CPU 公告中所提及的多個弱點影響- 在 Eclipse Jetty 版本 9.4.0 至 9.4.56 中擴充要求內文時若遇到 gzip 錯誤則可不正確地釋放緩衝區。這可導致要求之間的資料損毀和/或意外共用。 (CVE-2024-13009)
- Oracle Fusion Middleware 的 Oracle Identity Manager 產品中的弱點 (元件Identity Console)。攻擊此弱點的難度較小,經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Identity Manager。若要成功攻擊必須有攻擊者以外之他人的互動且雖然弱點位於 Oracle Identity Manager 中但攻擊可能對其他產品造成重大影響 (範圍變更)。成功攻擊此弱點可導致未經授權地更新、插入或刪除某些可供存取之 Oracle Identity Manager 資料的存取權以及讀取可供存取之 Oracle Identity Manager 資料子集的存取權。 (CVE-2026-34283)
- Apache Log4j Core 2.0-beta9 版至 2.25.2 版中的 Socket Appender 未執行對等端憑證的 TLS 主機名稱驗證即使當 verifyHostName 組態屬性或 log4j2.sslVerifyHostName 系統屬性設為 true 時亦如此。在下列情況下此問題可能允許攔截式攻擊者攔截或重新導向記錄流量* 攻擊者能夠攔截用戶端和記錄接收者之間的網路流量或將其重新導向。 * 攻擊者可以出示由 Socket Appender 之已設定信任存放區 (或若未設定自訂信任存放區則為預設 Java 信任存放區所信任) 的憑證授權單位所核發的伺服器憑證。建議使用者升級至 Apache Log4j Core 2.25.3版其可解決此問題。Socket Appender 可能會設為使用私人或受限制的信任 root 來限制受信任憑證集作為替代減輕措施。 (CVE-2025-68161)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
按照 2026 年 4 月 Oracle 重大修補程式更新公告,套用適當的修補程式。另請參閱
https://www.oracle.com/docs/tech/security-alerts/cpuapr2026csaf.json
Plugin 詳細資訊
嚴重性: Medium
ID: 309960
檔案名稱: oracle_identity_management_cpu_apr_2026_v12.nasl
版本: 1.2
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/4/23
已更新: 2026/4/27
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 6.4
時間性分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2024-13009
CVSS v3
風險因素: Medium
基本分數: 4.8
時間性分數: 4.3
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2025-68161
CVSS v4
風險因素: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:L/SA:N
CVSS 評分資料來源: CVE-2025-68161
弱點資訊
CPE: cpe:/a:oracle:identity_manager
必要的 KB 項目: installed_sw/Oracle Identity Manager
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/4/21
弱點發布日期: 2026/4/21