Oracle REST Data Services (CSPU,2026 年 5 月)
critical Nessus Plugin ID 318834
語言:
概要
遠端主機正在執行的 Oracle REST Data Services 版本受到多個弱點影響。說明
遠端主機上安裝的 Oracle REST Data Services (ORDS) 版本為 24.2.0 至 26.1.0。因此,會受到 2026 年 5 月重大安全性修補程式更新 (CSPU) 公告中提及的多個弱點影響。- Oracle REST Data Services (元件:Backend-as-a-Service) 中的弱點。攻擊此弱點的難度較小,經由 HTTPS 存取網路的未經驗證的攻擊者可藉此入侵 Oracle REST Data Services。雖然弱點是在 Oracle REST Data Services 中,但攻擊可能會顯著影響其他的產品 (範圍變更)。成功攻擊此弱點可導致接管 Oracle REST Data Services。
(CVE-2026-46840)
- Oracle REST Data Services (元件:Core) 中的弱點。攻擊此弱點的難度較小,經由 HTTPS 存取網路的低權限攻擊者可藉此入侵 Oracle REST Data Services。雖然弱點是在 Oracle REST Data Services 中,但攻擊可能會顯著影響其他的產品 (範圍變更)。成功攻擊此弱點可導致接管 Oracle REST Data Services。(CVE-2026-46775、CVE-2026-46839)
- Oracle REST Data Services (元件:Core) 中的弱點。攻擊此弱點的難度較小,經由 HTTPS 存取網路的低權限攻擊者可藉此入侵 Oracle REST Data Services。若成功攻擊此弱點,攻擊者即可在未經授權的情況下建立、刪除或修改關鍵資料或所有的 Oracle REST Data Services 可存取資料,並在未經授權的情況下存取關鍵資料或完全存取所有 Oracle REST Data Services 可存取資料。(CVE-2026-35277)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
按照 2026 年 5 月 Oracle 重大安全性修補程式更新公告,套用適當的修補程式。另請參閱
https://www.oracle.com/security-alerts/cspumay2026.html
https://www.oracle.com/security-alerts/cspumay2026.html#AppendixORDS
Plugin 詳細資訊
嚴重性: Critical
ID: 318834
檔案名稱: oracle_rest_data_services_cspu_may_2026.nasl
版本: 1.2
類型: Local
代理程式: unix
系列: Misc.
已發布: 2026/6/5
已更新: 2026/6/8
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.3
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-46840
CVSS v3
風險因素: Critical
基本分數: 10
時間性分數: 8.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:oracle:rest_data_services
必要的 KB 項目: installed_sw/Oracle REST Data Services
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/5/28
弱點發布日期: 2026/5/28
參考資訊
CVE: CVE-2026-35266, CVE-2026-35277, CVE-2026-46775, CVE-2026-46829, CVE-2026-46830, CVE-2026-46839, CVE-2026-46840, CVE-2026-46841, CVE-2026-46842, CVE-2026-46843
IAVA: 2026-A-0527