Oracle Business Intelligence Enterprise EditionOAS 7.62026 年 4 月 CPU

high Nessus 插件 ID 309965

语言：

简介

远程主机受到多个漏洞影响

描述

如 2026 年 4 月 CPU 公告所述远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 7.6.0.0.0 版本受到多个漏洞的影响。

- 提供 Java 实用工具的库mchange-commons-java包含对 JNDI 功能早期实现进行镜像的代码包括对远程“factoryClassLocation”值的支持可以通过该值在运行的应用程序中下载和调用代码。如果攻击者可引起应用程序读取恶意构建的“jaxax.naming.Reference”或序列化对象则可引起应用程序下载和执行恶意代码。JDK 中此功能的实现在默认为“false”的系统属性“com.sun.jndi.ldap.object.trustURLCodebase”之后默认为禁用状态。但是由于 mchange-commons-java 包含 JNDI 取消引用的独立实现因此即使在强化 JDK 后也可导致通过该实现解析引用的库例如 c3p0下载和执行恶意代码。
镜像 JDK 修补程序mchange-commons-java 的 JNDI 功能由从版本 0.4.0开始默认为限制性值的配置参数门控。目前尚无已知的解决方法。应避免在应用程序 CLASSPATH 中使用低于 0.4.0 的版本。 (CVE-2026-27727)

- EclipseJersey 2.28 至 2.33 和 EclipseJersey 3.0.0 至 3.0.1 含有一个本地信息泄露漏洞。这是由于使用了 File.createTempFile 以 -rw-r--r--权限在系统临时目录内创建了文件。因此系统本地的所有其他用户都可查看此文件的内容。因此，如果写入的内容具有安全敏感度，则可能会泄露给其他本地用户。 (CVE-2021-28168)

- 在 9.37.2 之前的 Connect2id Nimbus JOSE+JWT 中，攻击者可通过为 PasswordBasedDecrypter (PBKDF2) 组件使用较大的 JWE p2c 标头值（也称为迭代计数）造成拒绝服务（资源消耗）。(CVE-2023-52428)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。