Oracle Business Intelligence Enterprise Edition (OAS 8.2)2026 年 1 月 CPU
high Nessus 插件 ID 296368
语言:
简介
远程主机受到多个漏洞影响描述
如 2026 年 1 月 CPU 公告中所述远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 8.2.0.0 版本受到多个漏洞的影响包括以下内容- Oracle Analytics 产品的 Oracle Business Intelligence Enterprise Edition 中的漏洞组件Core (Apache XMLBeans)。支持的版本中受影响的是 8.2.0.0.0。利用漏洞此漏洞的难度较低,通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功利用此漏洞进行攻击可导致在未经授权的情况下访问关键数据,或完全访问 Oracle Business Intelligence Enterprise Edition 所有可访问数据,以及在未经授权的情况下导致 Oracle Business Intelligence Enterprise Edition 发生系统挂起或频繁出现崩溃(完全 DOS)。(CVE-2021-23926)
- Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞组件Analytics Server (jackson-core)。支持的版本中受影响的是 7.6.0.0.0 和 8.2.0.0.0。利用漏洞此漏洞的难度较低,通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若攻击成功,攻击者可在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 挂起或频繁出现崩溃(完整 DOS)。(CVE-2025-52999)
- Oracle Analytics 产品的 Oracle Business Intelligence Enterprise Edition 中的漏洞组件 Oracle Analytics Cloud。支持的版本中受影响的是 7.6.0.0.0 和 8.2.0.0.0。可轻松利用的漏洞允许低权限攻击者登录 Oracle Business Intelligence Enterprise Edition 执行的基础架构从而破坏 Oracle Business Intelligence Enterprise Edition。若成功攻击此漏洞,攻击者可在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Business Intelligence Enterprise Edition 可访问数据,并且未经授权即可访问关键数据或完整访问所有 Oracle Business Intelligence Enterprise Edition 可访问数据。(CVE-2026-21976)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
请根据 2026 年 1 月 Oracle 关键修补程序更新公告应用相应修补程序。另见
插件详情
严重性: High
ID: 296368
文件名: oracle_obiee_cpu_jan_2026_oas_8_2.nasl
版本: 1.3
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/1/23
最近更新时间: 2026/3/4
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
CVSS 分数来源: CVE-2021-23926
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2022-45047
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2025-52999
漏洞信息
CPE: cpe:/a:oracle:business_intelligence
必需的 KB 项: installed_sw/Oracle Analytics Server
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/1/20
漏洞发布日期: 2026/1/20
参考资料信息
CVE: CVE-2021-23926, CVE-2022-45047, CVE-2025-31672, CVE-2025-41249, CVE-2025-48924, CVE-2025-52999, CVE-2025-9230, CVE-2025-9232, CVE-2026-21976
IAVA: 2026-A-0070