Apache Spark 3.2.1 和更低版本以及 3.3.0 版中具有儲存型跨網站指令碼 (XSS) 弱點，遠端攻擊者可以在記錄中包含惡意承載，然後這些承載會在 UI 中轉譯的記錄中傳回，藉由這種方式，攻擊者可在使用者的 Web 瀏覽器中執行任意 JavaScript。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

A stored cross-site scripting (XSS) vulnerability in Apache Spark 3.2.1 and earlier, and 3.3.0, allows remote attackers to execute arbitrary JavaScript in the web browser of a user, by including a malicious payload into the logs which would be returned in logs rendered in the UI.

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

Apache Spark 3.2.1 以前および 3.3.0 には、蓄積型クロスサイトスクリプティング (XSS) の脆弱性があるため、リモート攻撃者が、UI で表示されるログに悪意のあるペイロードを含めることで、ユーザーの Web ブラウザで任意の JavaScript を実行する可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Apache Spark 3.2.1 及更高版本和 3.3.0 中存在存储型跨站脚本 (XSS) 漏洞，远程攻击者可利用此漏洞将恶意负载包含到日志中，以在用户的 Web 浏览器中执行任意 JavaScript，而这些负载将在 UI 呈现的日志中返回。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

The version of Apache Spark installed on the remote host is prior to 3.2.2 or is 3.3.0. It is, therefore, affected by a cross-site scripting (XSS) vulnerability. An authenticated, remote attacker can execute arbitrary JavaScript in the web browser of a user by including a malicious payload into the logs which would be returned in logs rendered in the UI.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている Apache Spark のバージョンは、3.2.2 または 3.3.0 より前です。したがって、クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。認証されたリモート攻撃者が、UI で表示されるログに悪意のあるペイロードを含めることで、ユーザーの Web ブラウザで任意の JavaScript を実行できる可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition (OAS) 6.4.0.0.0 和 7.0.0.0 版本受到 2023 年 7 月 CPU 公告中提及的一個弱點影響。 

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：分析伺服器 (Apache Hive))。受影響的支援版本是 6.4.0.0.0、7.0.0.0.0 和 12.2.1.4.0 。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若攻擊成功，攻擊者可在未經授權的情況下建立、刪除或修改重要資料或所有 Oracle Business Intelligence Enterprise Edition 可存取資料，並在未經授權的情況下存取重要資料或完全存取所有 Oracle Business Intelligence Enterprise Edition 可存取資料。
    (CVE-2018-1282)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Visual Analyzer (jackson-databind))。受影響的支援版本是 6.4.0.0.0 和 7.0.0.0.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若攻擊成功，攻擊者未經授權即可導致 Oracle Business Intelligence Enterprise Edition 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-33980)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Visual Analyzer (CKEditor))。受影響的支援版本是 6.4.0.0.0 和 7.0.0.0.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若要成功攻擊，必須要與除攻擊者以外的其他人進行人爲互動。雖然弱點位於 Oracle Business Intelligence Enterprise Edition 中，但攻擊可能對其他產品造成重大影響 (範圍改變)。若成功攻擊此弱點，攻擊者未經授權即可對部分 Oracle Business Intelligence Enterprise Edition 可存取資料執行更新、插入或刪除作業，並且可以未經授權讀取 Oracle Business Intelligence Enterprise Edition 可存取資料中的部分資料。(CVE-2023-28439)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache Spark 版本低於 3.2.2 或為 3.3.0 版。因此受到一個跨網站指令碼 (XSS) 弱點的影響：經驗證的遠端攻擊者可透過將惡意承載納入記錄中，在使用者的網頁瀏覽器中執行任意 JavaScript，而記錄會在 UI 中轉譯的記錄中傳回。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 Apache Spark 版本低于 3.2.2 或 3.3.0。因此，它受到跨站脚本 (XSS) 漏洞的影响。经过身份验证的远程攻击者可以通过将恶意负载包含到日志中，以在用户的 Web 浏览器中执行任意 JavaScript，这些负载将在 UI 中呈现的日志中返回。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモートホストにインストールされている Oracle Business Intelligence Enterprise Edition (OAS) の 6.4.0.0.0 および 7.0.0.0 バージョンは、2023 年 7 月の CPU アドバイザリに記載されている脆弱性の影響を受けます。 

  - Oracle Analytics の Oracle Business Intelligence Enterprise Edition 製品の脆弱性 (コンポーネント: Analytics Server (Apache Hive))。サポートされているバージョンで影響を受けるのは、6.4.0.0.0、7.0.0.0.0、12.2.1.4.0 です。容易に悪用可能な脆弱性があることにより、ネットワークにアクセスできる認証されていない攻撃者が、HTTP 経由で Oracle Business Intelligence Enterprise Edition を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Business Intelligence Enterprise Edition がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Business Intelligence Enterprise Edition がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
    (CVE-2018-1282)

  - Oracle Analytics の Oracle Business Intelligence Enterprise Edition 製品の脆弱性 (コンポーネント: Visual Analyzer (jackson-databind))。サポートされているバージョンで影響を受けるのは、6.4.0.0.0 および 7.0.0.0.0です。容易に悪用可能な脆弱性があることにより、ネットワークにアクセスできる認証されていない攻撃者が、HTTP 経由で Oracle Business Intelligence Enterprise Edition を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Business Intelligence Enterprise Edition をハングさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりする可能性があります。(CVE-2022-33980)

  - Oracle Analytics の Oracle Business Intelligence Enterprise Edition 製品の脆弱性 (コンポーネント: Visual Analyzer (CKEditor))。サポートされているバージョンで影響を受けるのは、6.4.0.0.0 および 7.0.0.0.0です。容易に悪用可能な脆弱性があることにより、ネットワークにアクセスできる認証されていない攻撃者が、HTTP 経由で Oracle Business Intelligence Enterprise Edition を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性があるのは Oracle Business Intelligence Enterprise Edition ですが、攻撃が他の製品に大きな影響を与える可能性があります (範囲変更)。この脆弱性による攻撃が成功すると、権限のない更新、Oracle Business Intelligence Enterprise Edition がアクセスできるデータへのアクセスの挿入、削除ならびに Oracle Business Intelligence Enterprise Edition がアクセスできるデータのサブセットへの権限のない読み取りアクセスが可能になります。(CVE-2023-28439)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of Oracle Business Intelligence Enterprise Edition (OAS) 6.4.0.0.0 and 7.0.0.0 installed on the remote host are affected by a vulnerability as referenced in the July 2023 CPU advisory. 

  - Vulnerability in the Oracle Business Intelligence Enterprise Edition product of Oracle Analytics     (component: Analytics Server (Apache Hive)). Supported versions that are affected are 6.4.0.0.0,     7.0.0.0.0 and 12.2.1.4.0. Easily exploitable vulnerability allows unauthenticated attacker with network     access via HTTP to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks of     this vulnerability can result in unauthorized creation, deletion or modification access to critical data     or all Oracle Business Intelligence Enterprise Edition accessible data as well as unauthorized access to     critical data or complete access to all Oracle Business Intelligence Enterprise Edition accessible data.
    (CVE-2018-1282)

  - Vulnerability in the Oracle Business Intelligence Enterprise Edition product of Oracle Analytics     (component: Visual Analyzer (jackson-databind)). Supported versions that are affected are 6.4.0.0.0 and     7.0.0.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP     to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks of this vulnerability     can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of     Oracle Business Intelligence Enterprise Edition. (CVE-2022-33980)

  - Vulnerability in the Oracle Business Intelligence Enterprise Edition product of Oracle Analytics     (component: Visual Analyzer (CKEditor)). Supported versions that are affected are 6.4.0.0.0 and     7.0.0.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP     to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks require human     interaction from a person other than the attacker and while the vulnerability is in Oracle Business     Intelligence Enterprise Edition, attacks may significantly impact additional products (scope change).     Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to     some of Oracle Business Intelligence Enterprise Edition accessible data as well as unauthorized read     access to a subset of Oracle Business Intelligence Enterprise Edition accessible data. (CVE-2023-28439)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 6.4.0.0.0 和 7.0.0.0 版本受到 2023 年 7 月 CPU 公告中提及的一个漏洞影响。 

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server (Apache Hive)）。支持的版本中受影响的是 6.4.0.0.0、7.0.0.0.0 和  12.2.1.4.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Business Intelligence Enterprise Edition 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Business Intelligence Enterprise Edition 可访问数据。
    (CVE-2018-1282)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Visual Analyzer (jackson-databind)）。支持的版本中受影响的是 6.4.0.0.0 和 7.0.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若攻击成功，攻击者可在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 挂起或频繁出现崩溃（完整 DOS）。(CVE-2022-33980)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Visual Analyzer (CKEditor)）。支持的版本中受影响的是 6.4.0.0.0 和 7.0.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Business Intelligence Enterprise Edition 中，但攻击可能对其他产品造成重大影响（范围更改）。若成功利用此漏洞，攻击者未经授权即可对 Oracle Business Intelligence Enterprise Edition 可访问的部分数据执行更新、插入或删除操作，并且未经授权即可读取 Oracle Business Intelligence Enterprise Edition 可访问数据中的部分数据。(CVE-2023-28439)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名稱	產品	系列	已發布	已更新	嚴重性
113538	Apache Spark 3.3.0 儲存型跨網站指令碼	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113538	Apache Spark 3.3.0 Stored Cross-Site Scripting	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113538	Apache Spark 3.3.0 の保存されたクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113538	Apache Spark 3.3.0 存储型跨站脚本	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113539	Apache Spark < 3.2.2 の保存されたクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113539	Apache Spark < 3.2.2 存储型跨站脚本	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113539	Apache Spark < 3.2.2 Stored Cross-Site Scripting	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
113539	Apache Spark < 3.2.2 儲存型跨網站指令碼	Web App Scanning	Component Vulnerability	2023/1/12	2023/3/14	medium
182513	Apache Spark < 3.2.2 / 3.3.0 < 3.3.1 XSS (CVE-2022-31777)	Nessus	Misc.	2023/10/4	2024/5/28	medium
182513	Apache Spark < 3.2.2 / 3.3.0 < 3.3.1 の XSS (CVE-2022-31777)	Nessus	Misc.	2023/10/4	2024/5/28	medium
178710	Oracle Business Intelligence Enterprise Edition (OAS) (2023 年 7 月 CPU)	Nessus	Misc.	2023/7/21	2023/10/24	critical
182513	Apache Spark < 3.2.2 / 3.3.0 < 3.3.1 XSS (CVE-2022-31777)	Nessus	Misc.	2023/10/4	2024/5/28	medium
182513	Apache Spark < 3.2.2 / 3.3.0 < 3.3.1 XSS (CVE-2022-31777)	Nessus	Misc.	2023/10/4	2024/5/28	medium
178710	Oracle Business Intelligence Enterprise Edition (OAS) (2023 年 7 月 CPU)	Nessus	Misc.	2023/7/21	2023/10/24	critical
178710	Oracle Business Intelligence Enterprise Edition (OAS) (July 2023 CPU)	Nessus	Misc.	2023/7/21	2023/10/24	critical
178710	Oracle Business Intelligence Enterprise Edition (OAS)（2023 年 7 月 CPU）	Nessus	Misc.	2023/7/21	2023/10/24	critical

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

critical

medium

medium

critical

critical

critical