检测

Oracle Primavera Unifier 多个漏洞(2020 年 7 月 CPU)

critical Nessus 插件 ID 138508

语言:

简介

The remote host is affected by multiple vulnerabilities

描述

根据其自我报告的版本号,远程 Web 服务器上运行的 Oracle Primavera Unifier 安装版本为低于 16.2.16.2 的 16.1.x 或 16.2.x、或低于 17.12.11.4 的 17.7.x 到 17.12.x、或低于 18.8.17 的 18.8.x、或低于 19.12.7 的 19.12.x。因此,该应用程序受到多个漏洞的影响,其中包括:

 - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞(组件:Platform (jackson-databind))。支持的版本中受影响的为 16.1、16.2、17.7-17.12、18.8 和 19.12。
 可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Primavera Unifier。成功攻击此漏洞可导致接管 Primavera Unifier。(CVE-2020-9546)

 - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞(组件:Core (Apache Ant))。支持的版本中受影响的为 16.1、16.2、17.7-17.12、18.8 和 19.12。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Primavera Unifier。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改关键数据或所有 Primavera Unifier 可访问数据的访问权限,并且可以在未经授权的情况下访问关键数据或完整访问所有 Primavera Unifier 可访问数据。(CVE-2020-1945)

 - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞(组件:Mobile App)。支持的版本中受影响的是低于 20.6 的版本。难以利用的漏洞允许未经身份验证的攻击者通过 HTTPS 进行网络访问,从而危害 Primavera Unifier。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下访问关键数据,或完全访问 Primavera Unifier 所有可访问数据,以及在未经授权的情况下更新、插入或删除某些 Primavera Unifier 可访问数据的访问权限。
 (CVE-2020-14618)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号。

解决方案

Apply the appropriate patch according to the July 2020 Oracle Critical Patch Update advisory.

另见

https://www.oracle.com/a/tech/docs/cpujul2020cvrf.xml

https://www.oracle.com/security-alerts/cpujul2020.html

插件详情

严重性: Critical

ID: 138508

文件名: oracle_primavera_unifier_cpu_jul_2020.nasl

版本: 1.7

类型: remote

系列: CGI abuses

发布时间: 2020/7/15

最近更新时间: 2024/3/1

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2020-9548

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:primavera_unifier

必需的 KB 项: www/weblogic, installed_sw/Oracle Primavera Unifier

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/7/14

漏洞发布日期: 2020/7/14

参考资料信息

CVE: CVE-2020-10650, CVE-2020-10672, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-14617, CVE-2020-1945, CVE-2020-9546, CVE-2020-9547, CVE-2020-9548

IAVA: 2020-A-0324