Oracle Enterprise Manager Cloud Control（2024 年 1 月 CPU）

medium Nessus 插件 ID 189242

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Enterprise Manager 的 Enterprise Manager Base Platform 产品的 13.5.0.0 版本受到 2024 年 1 月 CPU 公告中提及的多个漏洞的影响：

- Enterprise Manager Base Platform 的 Agent Next Gen (jackson-databind) 和 Extensibility Framework (jackson-databind) 组件中存在漏洞。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而破坏 Oracle Enterprise Manager Base Platform。成功利用此漏洞进行攻击可导致在未经授权的情况下挂起 Oracle Enterprise Manager Base Platform，或者频繁出现重复崩溃（完整 DOS）。(CVE-2022-42003)

- Enterprise Manager Base Platform 的 Agent Next Gen (Jettison) 组件中存在漏洞。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而破坏 Oracle Enterprise Manager Base Platform。成功利用此漏洞进行攻击可导致在未经授权的情况下挂起 Oracle Enterprise Manager Base Platform，或者频繁出现重复崩溃（完整 DOS）。(CVE-2023-1436)

- Enterprise Manager Base Platform 的 Log Management 组件中存在漏洞。利用此漏洞的难度较大，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而破坏 Oracle Enterprise Manager Base Platform。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Enterprise Manager Base Platform 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致对重要数据的未经授权访问或对所有 Oracle Enterprise Manager Base Platform 可访问数据进行完全访问，以及对一些 Oracle Enterprise Manager Base Platform 可访问数据进行未经授权的更新、插入或删除访问和在未经授权的情况下，造成 Oracle Enterprise Manager Base Platform 的部分拒绝服务（部分 DOS）。(CVE-2024-20917) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。