Oracle E-Business Suite（2024 年 7 月 CPU）

high Nessus 插件 ID 202705

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle E-Business Suite 版本受到 2024 年 7 月 CPU 公告中提及的多个漏洞影响。

- Oracle E-Business Suite 的 Oracle Trading Community 产品中的漏洞（组件：Party Search UI）。支持的版本中受影响的是 12.2.3-12.2.13。攻击此漏洞的难度较低，具有网络访问权限的低权限攻击者可借此通过 HTTP 入侵 Oracle Trading Community。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Trading Community 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Trading Community 可访问数据。(CVE-2024-21167)

- Oracle E-Business Suite 的 Oracle Process Manufacturing Product Development 产品中的漏洞（组件：Quality Management Specs）。支持的版本中受影响的是 12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Process Manufacturing Product Development。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle Process Manufacturing Product Development 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle Process Manufacturing Product Development 可访问数据。(CVE-2024-21153)

- Oracle E-Business Suite 的 Oracle Process Manufacturing Financials 产品中的漏洞（组件：Allocation Rules）。支持的版本中受影响的是 12.2.12-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Process Manufacturing Financials。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle Process Manufacturing Financials 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle Process Manufacturing Financials 可访问数据。(CVE-2024-21152)

- Oracle E-Business Suite 的 Oracle Application Object Library 产品中的漏洞（组件：
API）。支持的版本中受影响的是 12.2.6-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Application Object Library。
若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Application Object Library 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除对某些 Oracle Application Object Library 可访问数据的访问权限，以及对 Oracle Application Object Library 可访问数据子集进行未经授权的读取访问。
(CVE-2024-21128)

- Oracle E-Business Suite 的 Oracle Purchasing 产品中的漏洞（组件：Approvals）。
支持的版本中受影响的是 12.2.3-12.2.13。此漏洞较容易攻击，允许低权限攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Purchasing。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Purchasing 中，但攻击可能对其他产品造成重大影响（范围更改）。若攻击成功，攻击者可在未经授权的情况下更新、插入或删除部分 Oracle Purchasing 可访问数据，并且可在未经授权的情况下读取部分 Oracle Purchasing 可访问数据。
(CVE-2024-21132)

- Oracle E-Business Suite 的 Oracle iStore 产品中的漏洞（组件：User Management）。
支持的版本中受影响的是 12.2.3-12.2.13。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle iStore。成功利用此漏洞进行攻击可导致对 Oracle iStore 可访问数据子集进行未经授权的读取访问。
(CVE-2024-21143)

- Oracle E-Business Suite 的 Oracle Trade Management 产品中存在漏洞（组件：GL Accounts）。
支持的版本中受影响的是 12.2.3-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Trade Management。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Trade Management 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Trade Management 可访问数据。(CVE-2024-21146)

- Oracle E-Business Suite 的 Oracle Applications Framework 产品中的漏洞（组件：
个性化）。支持的版本中受影响的是 12.2.3-12.2.13。此漏洞很容易被利用，允许高权限攻击者通过 HTTP 访问网络，从而破坏 Oracle Applications Framework。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Applications Framework 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除对某些 Oracle Applications Framework 可访问数据的访问权限，以及在未经授权的情况下读取访问 Oracle Applications Framework 可访问数据的子集。(CVE-2024-21148)

- Oracle E-Business Suite 的 Oracle Enterprise Asset Management 产品中的漏洞（组件：
Work Definition Issues）。支持的版本中受影响的是 12.2.11-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Enterprise Asset Management。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Enterprise Asset Management 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Enterprise Asset Management 可访问数据。(CVE-2024-21149)

- Oracle E-Business Suite 的 Oracle Marketing 产品中存在漏洞（组件：Partners）。支持的版本中受影响的是 12.2.3-12.2.13。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Marketing。若攻击成功，攻击者可在未经授权的情况下更新、插入或删除部分 Oracle Marketing 可访问数据，并且可在未经授权的情况下读取部分 Oracle Marketing 可访问数据。
(CVE-2024-21169)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。