Oracle Business Intelligence Enterprise EditionOAS 7.62025 年 10 月 CPU

high Nessus 插件 ID 271383

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 7.6.0.0.0 版本受到 2025 年 10 月 CPU 公告中提及的多个漏洞的影响。

- Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞组件Analytics Web Administration。支持的版本中受影响的是 7.6.0.0.0 和 8.2.0.0.0。可轻松利用的漏洞允许具有网络访问权限的高权限攻击者通过 HTTP 破坏 Oracle Business Intelligence Enterprise Edition。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Business Intelligence Enterprise Edition 中，但攻击可能对其他产品造成重大影响（范围更改）。
成功攻击此漏洞可导致接管 Oracle Business Intelligence Enterprise Edition。(CVE-2025-53049)

- 问题摘要使用 RFC7250 原始公钥 (RPK) 对服务器进行认证的客户端可能无法注意到服务器未经认证因为设置 SSL_VERIFY_PEER 验证模式时握手不会按预期中止。影响摘要客户端未检测到服务器身份验证失败时使用原始公钥的 TLS 和 DTLS 连接可能容易受到中间人攻击。默认情况下 RPK 在 TLS 客户端和 TLS 服务器中均禁用。仅当 TLS 客户端明确允许服务器使用 RPK并且服务器同样允许发送 RPK 而非 X.509 证书链时才会出现此问题。通过将验证模式设置为 SSL_VERIFY_PEER, 受影响的客户端是那些在服务器的 RPK 无法匹配预期公钥之一时依赖于握手失败的客户端。启用了服务器端原始公钥的客户端仍可通过调用 SSL_get_verify_result() 发现原始公钥验证失败、会发现原始公钥验证失败且采取适当操作不受影响。OpenSSL 中 RPK 支持的初始实现引入此问题 3.2。 3.4、 3.3、 3.2、 3.1 和 3.0 中的 FIPS 模块不受此问题的影响。 (CVE-2024-12797)

- Apache Commons IO 中不受控制的资源消耗漏洞。org.apache.commons.io.input.XmlStreamReader 类可能在处理恶意特制输入时过度消耗 CPU 资源。此问题会影响 Apache Commons IO 2.0 至 2.14.0。建议用户升级到修复了此问题的 2.14.0 或更高版本。(CVE-2024-47554)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。