偵測

Oracle E-Business 多個弱點 (2016 年 7 月 CPU)

critical Nessus Plugin ID 92461

語系:

概要

遠端主機上安裝的 Web 應用程式受到多個弱點影響。

說明

遠端主機上安裝的 Oracle E-Business 版本缺少 2016 年 7 月 Oracle 重大修補程式更新 (CPU)。因此,該應用程式受到多個弱點影響:

 - 在 CRM Technical Foundation 元件內的 Wireless Framework 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3491)

 - 在 Customer Interaction History 元件內的 Function Security 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3512)

 - 在 Application Object Library 元件內的 AOL 診斷測試子元件中存在一個不明瑕疵,其可允許經驗證的遠端攻擊者洩漏潛在的敏感資訊。
 (CVE-2016-3520)

 - 在 Web Applications Desktop Integrator 元件內的 Application Service 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3522)

 - Web Applications Desktop Integrator 元件內的 Application Service 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響完整性。(CVE-2016-3523)

 - 在 Applications Technology Stack 元件內的 Configuration 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3524)

 - 在 Applications Manager 元件內的 Cookie Management 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
 (CVE-2016-3525)

 - 在 Internet Expenses 元件內的 Expenses Admin Utilities 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者造成拒絕服務。
 (CVE-2016-3528)

 - 在 Advanced Inbound Telephony 元件內的 SDK 用戶端整合子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3532)

 - 在 Knowledge Management 元件內的 Search 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響完整性。
 (CVE-2016-3533)

 - Installed Base 元件內的 Engineering Change Order 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響完整性。(CVE-2016-3534)

 - 在 CRM Technical Foundation 元件內的 Remote Launch 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者影響機密性和完整性。
 (CVE-2016-3535)

 - Marketing 元件內的 Deliverables 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響機密性和完整性。(CVE-2016-3536)

 - Common Applications Calendar 元件內的 Notes 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響機密性和完整性。(CVE-2016-3541)

 - Knowledge Management 元件內的 Search/Browse 子元件中有一個不明瑕疵,經驗證的遠端攻擊者可利用此瑕疵來影響機密性和完整性。(CVE-2016-3542)

 - Common Applications Calendar 元件內的 Tasks 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響機密性和完整性。(CVE-2016-3543)

 - 在 Application Object Library 元件內的 Web 型說明畫面子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
 (CVE-2016-3545)

 - Advanced Collections 元件內的 Report JSPs 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響機密性和完整性。(CVE-2016-3546)

 - 在 One-to-One Fulfillment 元件內的 Content Manager 子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
 (CVE-2016-3547)

 - 在 Marketing 元件內的 Marketing 活動抵押品子元件中存在一個不明瑕疵,其可允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
 (CVE-2016-3548)

 - E-Business Suite Secure Enterprise Search 元件內的 Search Integration Engine 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來洩露潛在的敏感資訊。(CVE-2016-3549)

 - Email Center 元件內的 Email Center Agent Console 子元件中有一個不明瑕疵,未經驗證的遠端攻擊者可利用此瑕疵來影響完整性。(CVE-2016-3558、CVE-2016-3559)

解決方案

根據 2016 年 7 月 Oracle 重大修補程式更新公告,套用適當的修補程式。

另請參閱

http://www.nessus.org/u?453b5f8c

Plugin 詳細資訊

嚴重性: Critical

ID: 92461

檔案名稱: oracle_e-business_cpu_jul_2016.nasl

版本: 1.9

類型: remote

系列: Misc.

已發布: 2016/7/20

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 9.4

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2016-3546

CVSS v3

風險因素: Critical

基本分數: 9.1

時間分數: 8.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:e-business_suite

必要的 KB 項目: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/7/18

弱點發布日期: 2016/7/18

參考資訊

CVE: CVE-2016-3491, CVE-2016-3512, CVE-2016-3520, CVE-2016-3522, CVE-2016-3523, CVE-2016-3524, CVE-2016-3525, CVE-2016-3528, CVE-2016-3532, CVE-2016-3533, CVE-2016-3534, CVE-2016-3535, CVE-2016-3536, CVE-2016-3541, CVE-2016-3542, CVE-2016-3543, CVE-2016-3545, CVE-2016-3546, CVE-2016-3547, CVE-2016-3548, CVE-2016-3549, CVE-2016-3558, CVE-2016-3559

BID: 91838, 91839, 91841, 91843, 91845, 91848, 91852, 91857, 91861, 91865, 91870, 91873, 91878, 91882, 91886, 91888, 91893, 91896, 91899, 91903, 91907, 91909, 91911