Oracle E-Business Suite（2025 年 1 月 CPU）

high Nessus 插件 ID 214592

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle E-Business Suite 版本受到 2025 年 1 月 CPU 公告中提及的多个漏洞的影响。

- Oracle E-Business Suite 的 Oracle Customer Care 产品中的漏洞（组件：Service Requests）。支持的版本中受影响的是 12.2.5-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Customer Care。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Customer Care 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Customer Care 可访问数据。(CVE-2025-21516)

- Oracle E-Business Suite 的 Oracle Project Foundation 产品中的漏洞（组件：Technology Foundation）。支持的版本中受影响的是 12.2.3-12.2.13。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Project Foundation。
成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Project Foundation 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Project Foundation 可访问数据。(CVE-2025-21506)

- Oracle E-Business Suite 的 Oracle Advanced Outbound Telephony 产品中的漏洞（组件：
Region Mapping）。支持的版本中受影响的是 12.2.3-12.2.10。此漏洞很容易被利用，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Advanced Outbound Telephony。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Advanced Outbound Telephony 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle Advanced Outbound Telephony 可访问数据的访问权限，以及对 Oracle Advanced Outbound Telephony 可访问数据子集进行未经授权的读取访问。
(CVE-2025-21489)

- Oracle E-Business Suite 的 Oracle Workflow 产品中的漏洞（组件：Admin Screens 和 Grants UI）。支持的版本中受影响的是 12.2.3-12.2.14。此漏洞很容易被利用，允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Workflow。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle Workflow 可访问数据的访问权限，以及对 Oracle Workflow 可访问数据子集进行未经授权的读取访问。(CVE-2025-21541)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。