Oracle Business Intelligence Enterprise Edition (OAS 7.6) (2026 年 4 月 CPU)

high Nessus Plugin ID 309965

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition (OAS) 7.6.0.0.0 版本受到 2026 年 4 月 CPU 公告中所提及的多個弱點影響。

- mchange-commons-java (提供 Java 公用程式的程式庫) 所包含的程式碼反映了 JNDI 功能的早期實作包括遠端 `factoryClassLocation` 值的支援可供下載並在執行中的應用程式內叫用。如果攻擊者可促使應用程式讀取惡意特製的 `jaxax.naming.Reference` 或序列化物件便可促使下載及執行惡意程式碼。依預設系統屬性 (預設為 `false`、`com.sun.jndi.ldap.object.trustURLCodebase`) 在 JDK 內此功能的實作預設為停用。不過由於 mchange-commons-java 包含 JNDI 解除參照的獨立實作因此即使在 JDK 已增強之後仍可觸發透過該實作解析參照的程式庫 (例如 c3p0) 下載並執行惡意程式碼。
此為 JDK 修補程式的鏡像mchange-commons-java 的 JNDI 功能由組態參數控制這些參數從 0.4.0版開始預設為限制性值。目前尚無已知的因應措施。應避免在應用程式 CLASSPATH 上使用 0.4.0 之前的版本。 (CVE-2026-27727)

- Eclipse Jackson 2.28 到 2.33 和 Eclipse Jackson 3.0.0 到 3.0.1 包含一個本機資訊洩漏弱點。這是因為使用 File.createTempFile 時所導致其會在系統暫存目錄內以下列權限建立檔案：-rw-r--r--。因此其他所有使用者皆可在系統上於本機檢視此檔案的內容。因此如果寫入的內容為安全性敏感內容就可能洩漏給其他本機使用者。 (CVE-2021-28168)

- 在 9.37.2 之前的 Connect2id Nimbus JOSE+JWT 中，攻擊者可透過 PasswordBasedDecrypter (PBKDF2) 元件的大型 JWE p2c 標頭值 (即反覆計數)，造成拒絕服務 (資源消耗)。(CVE-2023-52428)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。