Oracle E-Business Suite 多个漏洞(2021 年 4 月 CPU)

critical Nessus 插件 ID 148952

简介

远程主机受到多个漏洞的影响

描述

远程主机上安装的 Oracle E-Business Suite 版本受到 2021 年 4 月 CPU 公告中提及的多个漏洞的影响。

- Oracle E-Business Suite 的 Oracle Applications Framework 产品中存在一个漏洞(组件:
Home page)。支持的版本中受影响的是 12.2.10。可轻松利用的漏洞允许未经身份验证攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Applications Framework。
成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Applications Framework 可访问数据的访问权限,以及未经授权即可访问关键数据或完整访问所有 Oracle Applications Framework 可访问数据。
(CVE-2021-2200)

- Oracle E-Business Suite 的 Oracle Marketing 产品中存在一个漏洞(组件:Marketing Administration)。支持的版本中受影响的是 12.2.7-12.2.10。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Marketing。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Marketing 可访问数据的访问权限,以及未经授权即可访问关键数据或完整访问所有 Oracle Marketing 可访问数据。(CVE-2021-2205)

- Oracle E-Business Suite 的 Oracle Email Center 产品中存在一个漏洞(组件:Message Display)。支持的版本中受影响的是 12.1.1-12.1.3 和 12.2.3-12.2.10。可轻松利用的漏洞允许低权限攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Email Center。虽然漏洞位于 Oracle Email Center 中,但攻击也可能会严重影响其他产品。成功利用此漏洞进行攻击可导致在未经授权的情况下访问关键数据,或完全访问 Oracle Email Center 所有可访问数据,以及在未经授权的情况下更新、插入或删除某些 Oracle Email Center 可访问数据的访问权限。(CVE-2021-2209)

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

根据 2021 年 4 月 Oracle 关键补丁更新公告,应用相应的补丁。

另见

https://www.oracle.com/a/tech/docs/cpuapr2021cvrf.xml

https://www.oracle.com/security-alerts/cpuapr2021.html

插件详情

严重性: Critical

ID: 148952

文件名: oracle_e-business_cpu_apr_2021.nasl

版本: 1.13

类型: remote

系列: Misc.

发布时间: 2021/4/23

最近更新时间: 2024/1/3

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2019-10086

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2021-2205

漏洞信息

CPE: cpe:/a:oracle:e-business_suite

必需的 KB 项: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/4/20

漏洞发布日期: 2021/4/20

参考资料信息

CVE: CVE-2017-14735, CVE-2019-10086, CVE-2020-1967, CVE-2020-9488, CVE-2021-2150, CVE-2021-2153, CVE-2021-2155, CVE-2021-2156, CVE-2021-2181, CVE-2021-2182, CVE-2021-2183, CVE-2021-2184, CVE-2021-2185, CVE-2021-2186, CVE-2021-2187, CVE-2021-2188, CVE-2021-2189, CVE-2021-2190, CVE-2021-2195, CVE-2021-2197, CVE-2021-2198, CVE-2021-2199, CVE-2021-2200, CVE-2021-2205, CVE-2021-2206, CVE-2021-2209, CVE-2021-2210, CVE-2021-2222, CVE-2021-2223, CVE-2021-2224, CVE-2021-2225, CVE-2021-2227, CVE-2021-2228, CVE-2021-2229, CVE-2021-2231, CVE-2021-2233, CVE-2021-2235, CVE-2021-2236, CVE-2021-2237, CVE-2021-2238, CVE-2021-2239, CVE-2021-2241, CVE-2021-2246, CVE-2021-2247, CVE-2021-2249, CVE-2021-2251, CVE-2021-2252, CVE-2021-2254, CVE-2021-2255, CVE-2021-2258, CVE-2021-2259, CVE-2021-2260, CVE-2021-2261, CVE-2021-2262, CVE-2021-2263, CVE-2021-2267, CVE-2021-2268, CVE-2021-2269, CVE-2021-2270, CVE-2021-2271, CVE-2021-2272, CVE-2021-2273, CVE-2021-2274, CVE-2021-2275, CVE-2021-2276, CVE-2021-2288, CVE-2021-2289, CVE-2021-2290, CVE-2021-2292, CVE-2021-2295, CVE-2021-2314, CVE-2021-2316

BID: 105656

IAVA: 2021-A-0199-S, 2023-A-0559