Oracle Primavera P6 Enterprise Project Portfolio Management 多个漏洞（2020 年 7 月 CPU）

critical Nessus 插件 ID 138511

语言：

简介

The remote host is affected by multiple vulnerabilities

描述

根据其自我报告的版本号，远程 web 服务器上运行的 Oracle Primavera P6 Enterprise Project Portfolio Management (EPPM) 为低于 16.2.20.1 的 16.1.x、低于 17.12.17.1 的 17.1.x、低于 18.8.19 的 18.1.x 或低于 19.12.6.0 的 19.12.x。因此，该产品受到 2020 年 7 月 CPU 公告中提及的多个漏洞的影响，包括以下漏洞：

- Oracle Construction and Engineering 的 Primavera P6 Enterprise Project Portfolio Management 产品存在漏洞（组件：Web Access (dom4j)）。支持的版本中受影响的是 16.1.0.0-16.2.20.1、17.1.0.0-17.12.17.1、18.1.0.0-18.8.19 和 19.12.0-19.12.6。轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，危害 Primavera P6 Enterprise Project Portfolio Management。成功攻击此漏洞可导致接管 Primavera P6 Enterprise Manager Base Platform Project Portfolio Management。(CVE-2020-10683)

- Oracle Construction and Engineering 的 Primavera P6 Enterprise Project Portfolio Management 产品存在漏洞（组件：Web Access (kafka client)）。支持的版本中受影响的是 19.12.0-19.12.6。轻松利用的漏洞允许低权限的攻击者通过 HTTP 进行网络访问，危害 Primavera P6 Enterprise Project Portfolio Management。成功攻击此漏洞可导致接管 Primavera P6 Enterprise Manager Base Platform Project Portfolio Management。
(CVE-2018-17196)

- Oracle Construction and Engineering 的 Primavera P6 Enterprise Project Portfolio Management 产品存在漏洞（组件：Web Access）。支持的版本中受影响的是 17.1.0.0-17.12.17.1、18.1.0.0-18.8.19 和 19.12.0-19.12.5。难以利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，危害 Primavera P6 Enterprise Project Portfolio Management。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下访问关键数据，或完全访问 Primavera P6 Enterprise Project Portfolio Management 所有可访问数据，以及在未经授权的情况下更新、插入或删除某些 Primavera P6 Enterprise Project Portfolio Management 可访问数据的访问权限。
(CVE-2020-14706)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。