Oracle Primavera Unifier（2021 年 4 月 CPU）

medium Nessus 插件 ID 148918

语言：

简介

远程主机受到多个漏洞的影响

描述

根据其自我报告的版本号，远程主机上运行的 Oracle Primavera Unifier 安装版本为低于 16.2.16.5 的 16.x、低于 17.12.11.7 的 17.x、低于 18.8.18.4 的 18.8.x、低于 19.12.14 的 19.12.x 或低于 20.12.4 的 20.12.x。因此，该应用程序受到 2021 年 4 月 CPU 公告中提及的多个漏洞的影响。

- Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：Core UI (jQuery)）。支持的版本中受影响的是 16.1、16.2、17.7-17.12、18.8、19.12 和 20.12。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Unifier。除攻击者以外的他人进行交互是实现成功攻击的必要条件，尽管漏洞存在于 Primavera Unifier 中，但攻击也可能会严重影响其他产品。
成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Primavera Unifier 可访问数据的访问权限，以及对 Primavera Unifier 可访问数据子集进行未经授权的读取访问。(CVE-2020-11022)

- Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：Core (HTTP Client)）。支持的版本中受影响的是 16.1、16.2、17.7-17.12、18.8、19.12 和 20.12。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Unifier。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Primavera Unifier 可访问数据的访问权限。(CVE-2020-13956)

- Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：Platform (Apache Groovy)）。支持的版本中受影响的是 16.1、16.2、17.7-17.12、18.8、19.12 和 20.12。
可轻松利用的漏洞允许低权限攻击者登录 Primavera Unifier 执行的基础结构，从而破坏 Primavera Unifier。成功攻击此漏洞可导致在未经授权的情况下访问重要数据，或完整访问所有可供访问的 Primavera Unifier 数据。
(CVE-2020-17521)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。