Oracle Agile Product Lifecycle Management (PLM) 9.3.6.x < 9.3.6.26
high Nessus 插件 ID 216910
语言:
简介
远程主机受到多个漏洞影响。描述
远程主机上的 Oracle Agile Product Lifecycle Management (PLM) 版本为低于 9.3.6.26 的 9.3.6.x。因此,该应用程序受到多个漏洞的影响,其中包括:- Oracle Supply Chain 的 Oracle Agile PLM 产品中的漏洞(组件:导出)。支持的版本中受影响的是 9.3.6。攻击此漏洞的难度较低,具有网络访问权限的低权限攻击者可借此通过 HTTP 入侵 Oracle Agile PLM。成功利用此漏洞进行攻击可导致接管 Oracle Agile PLM。(CVE-2024-20953)
- HTTP/2 协议允许拒绝服务(服务器资源消耗),因为取消请求即可快速重置许多流,正如在 2023 年 8 月到 2023 年 10 月期间在现实环境中利用的那样。(CVE-2023-44487)
- 发现 htmlcleaner thru 2.28 版中有一个问题,攻击者可以通过使用循环依存关系的构建对象造成拒绝服务或其他不明影响。(CVE-2023-34624)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Oracle Agile Product Lifecycle Management (PLM) 9.3.6.26 或更高版本另见
插件详情
严重性: High
ID: 216910
文件名: oracle_agile_plm_9_3_6_26.nasl
版本: 1.3
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2025/2/27
最近更新时间: 2025/2/28
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 9
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-20953
CVSS v3
风险因素: High
基本分数: 7.1
时间分数: 6.6
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2023-2976
漏洞信息
CPE: cpe:/a:oracle:agile_plm
必需的 KB 项: installed_sw/Oracle Agile Product Lifecycle Management (PLM)
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/1/16
漏洞发布日期: 2024/1/16
CISA 已知可遭利用的漏洞到期日期: 2023/10/31, 2025/3/17
参考资料信息
CVE: CVE-2023-2976, CVE-2023-34624, CVE-2023-42794, CVE-2023-42795, CVE-2023-44487, CVE-2023-45648, CVE-2024-20953