Oracle E-Business Suite（2024 年 10 月 CPU）

high Nessus 插件 ID 210333

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle E-Business Suite 版本受到 2024 年 10 月 CPU 公告中提及的多个漏洞影响。

- Oracle E-Business Suite 的 Oracle Financials 产品中的漏洞（组件：Common Components）。
支持的版本中受影响的是 12.2.3-12.2.13。攻击此漏洞的难度较低，具有网络访问权限的低权限攻击者可借此通过 HTTP 入侵 Oracle Financials。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Financials 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Financials 可访问数据。(CVE-2024-21282)

- Oracle E-Business Suite 的 Oracle Sourcing 产品中的漏洞（组件：Auctions）。支持的版本中受影响的是 12.2.3-12.2.13。此漏洞较容易攻击，允许低权限攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Sourcing。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Sourcing 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Sourcing 可访问数据。(CVE-2024-21279)

- Oracle E-Business Suite 的 Oracle Contract Lifecycle Management for Public Sector 产品中存在漏洞（组件：Award Processes）。支持的版本中受影响的是 12.2.3-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Contract Lifecycle Management for Public Sector。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Contract Lifecycle Management for Public Sector 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Contract Lifecycle Management for Public Sector 可访问数据。(CVE-2024-21278)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。