Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Oracle›Приложениеnvd,anchore_overrides

Business Intelligence

Уязвимости

85

Эксплуатируемые

3

Макс. CVSS

9.8

Макс. EPSS

0.99999

Распределение по критичности

Критический

3

Высокий

30

Средний

48

Низкий

4

Затронутые диапазоны версий

≤ 7.6.0.0.0

Также сопоставлено как (исходные строки): enterprise_manager_for_storage_management,enterprise_manager_ops_center,graalvm,jd_edwards_enterpriseone_tools,mysql_server,retail_returns_management,business_intelligence,communications_cloud_native_core_policy,jd_edwards_world_security,nosql_database,retail_integration_bus,communications_metasolv_solution

Топ уязвимостей

CVE-2021-2456Уязвимость в продукте Oracle Business Intelligence Enterprise Edition от Oracle Fusion Middleware (компонент: Analytics Web General). Поддерживаемая версия, подверженная уязвимости: 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через HTTP скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки этой уязвимости могут привести к захвату Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Base Score 9.8 (последствия для конфиденциальности, целостности и доступности). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2020-9480В Apache Spark 2.4.5 и более ранних версиях главный ресурсный менеджер может быть настроен для запроса аутентификации (spark.authenticate) через общий секрет. Однако, когда он включен, специально созданный RPC-вызов главному может успешно запустить ресурсы приложения в кластере Spark даже без общего ключа. Это можно использовать для выполнения команд оболочки на хост-машине. Это не влияет на кластеры Spark, использующие другие ресурсные менеджеры (YARN, Mesos и т. д.).

CVE-2020-2950Уязвимость в продукте Oracle Business Intelligence Enterprise Edition от Oracle Fusion Middleware (компонент: Analytics Web General). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки с использованием этой уязвимости могут привести к захвату контроля над Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.0 составляет 9.8 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2022-23307CVE-2020-9493 выявила проблему десериализации, которая присутствовала в Apache Chainsaw. До Chainsaw V2.0 Chainsaw был компонентом Apache Log4j 1.2.x, где существует та же проблема.

CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.

CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.

CVE-2020-14609Уязвимость в продукте Oracle Business Intelligence Enterprise Edition от Oracle Fusion Middleware (компонент: Analytics Web Answers). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через HTTP скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Business Intelligence Enterprise Edition и несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1 — 8.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L).

CVE-2019-2905Уязвимость в продукте Oracle Business Intelligence Enterprise Edition из Oracle Fusion Middleware (компонент: Installation). Поддерживаемые версии, подверженные уязвимости, — 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Base Score 8.6 (Воздействие на конфиденциальность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N).

CVE-2025-53049Уязвимость в продукте Oracle Business Intelligence Enterprise Edition (Oracle Analytics), компонент Analytics Web Administration. Затронутые версии: 7.6.0.0.0 и 8.2.0.0.0. Лёгкая в эксплуатации уязвимость позволяет атакующему с высокими привилегиями, имеющему сетевой доступ через HTTP, компрометировать Oracle Business Intelligence Enterprise Edition. Для успешной атаки требуется взаимодействие человека, не являющегося атакующим, и хотя уязвимость находится в OBIEE, атаки могут значительно затронуть дополнительные продукты (изменение области). Успешные атаки могут привести к полному захвату OBIEE. CVSS 3.1 базовый балл 8.4 (влияние на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H). См. источник 1 [1] Источники: - [1] https://www.oracle.com/security-alerts/cpuoct2025.html

CVE-2016-3446Неуказанная уязвимость в компоненте Oracle Business Intelligence Enterprise Edition в Oracle Fusion Middleware 11.1.1.7.0 и 11.1.1.9.0 позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через векторы, связанные с Analytics Web Administration.

CVE-2021-2025Уязвимость в продукте Oracle Business Intelligence Enterprise Edition пакета Oracle Fusion Middleware (компонент: Analytics Web General). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем данным, доступным в Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным в Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1 составляет 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2020-14815Уязвимость в продукте Oracle Business Intelligence Enterprise Edition от Oracle Fusion Middleware (компонент: Analytics Actions). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Базовая оценка 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2020-14690Уязвимость в продукте Oracle Business Intelligence Enterprise Edition из Oracle Fusion Middleware (компонент: Analytics Actions). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Для успешных атак требуется взаимодействие с пользователем, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критическим данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым данным Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1 составляет 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2018-3204Уязвимость в компоненте Oracle Business Intelligence Enterprise Edition продукта Oracle Fusion Middleware (подкомпонент: Analytics Server). Поддерживаемая версия, подверженная уязвимости: 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки требуют взаимодействия с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.0 составляет 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2017-10068Уязвимость в компоненте Oracle Business Intelligence Enterprise Edition Oracle Fusion Middleware (подкомпонент: Analytics Web Dashboards). Поддерживаемая версия, подверженная уязвимости: 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к важным данным или полному доступу ко всем данным, доступным для Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным для Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.0 составляет 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2017-10060Уязвимость в компоненте Oracle Business Intelligence Enterprise Edition Oracle Fusion Middleware (подкомпонент: Analytics Web General). Поддерживаемые версии, подверженные уязвимости: 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0 и 12.2.1.2.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Oracle Business Intelligence Enterprise Edition, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к важным данным или полному доступу ко всем данным, доступным для Oracle Business Intelligence Enterprise Edition, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным для Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.0 составляет 8.2 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).

CVE-2021-2041Уязвимость в продукте Oracle Business Intelligence Enterprise Edition пакета Oracle Fusion Middleware (компонент: Installation). Поддерживаемые версии, подверженные уязвимости: 12.2.1.3.0 и 12.2.1.4.0. Сложная для эксплуатации уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1 составляет 8.1 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2020-17530Принудительное вычисление OGNL, при вычислении на необработанном вводе пользователя в атрибутах тегов, может привести к удаленному выполнению кода. Затронутое программное обеспечение: Apache Struts 2.0.0 - Struts 2.5.25.

CVE-2020-14626Уязвимость в продукте Oracle Business Intelligence Enterprise Edition от Oracle Fusion Middleware (компонент: Analytics Web General). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 и 12.2.1.4.0. Трудно эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через HTTP скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1 — 8.1 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2016-3544Неуказанная уязвимость в компоненте Oracle Business Intelligence Enterprise Edition в Oracle Fusion Middleware 11.1.1.7.0, 11.1.1.9.0 и 11.2.1.0.0 позволяет удаленным аутентифицированным пользователям влиять на конфиденциальность и целостность через векторы, связанные с Analytics Web General.

CVE-2022-21421Уязвимость в продукте Oracle Business Intelligence Enterprise Edition компании Oracle Fusion Middleware (компонент: Analytics Web General). Поддерживаемые версии, подверженные уязвимости: 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Business Intelligence Enterprise Edition. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle Business Intelligence Enterprise Edition. Базовая оценка CVSS 3.1: 7.5 (воздействие на конфиденциальность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).

CVE-2021-4104JMSAppender в Log4j 1.2 уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j. Злоумышленник может предоставить конфигурации TopicBindingName и TopicConnectionFactoryBindingName, заставляя JMSAppender выполнять JNDI-запросы, которые приводят к удаленному выполнению кода аналогично CVE-2021-44228. Обратите внимание, что эта проблема затрагивает только Log4j 1.2, когда он специально настроен на использование JMSAppender, что не является настройкой по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует обновить Log4j 2, поскольку он решает множество других проблем из предыдущих версий.

CVE-2021-30468Уязвимость в JsonMapObjectReaderWriter Apache CXF позволяет злоумышленнику отправлять веб-сервису неправильно сформированный JSON, что приводит к зависанию потока в бесконечном цикле, бесконечно потребляя ресурсы ЦП. Эта проблема затрагивает Apache CXF версии до 3.4.4; Apache CXF версии до 3.3.11.

CVE-2021-23840Вызовы EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate могут привести к переполнению аргумента длины вывода в некоторых случаях, когда длина ввода близка к максимально допустимой длине для целого числа на платформе. В таких случаях возвращаемое значение из вызова функции будет 1 (что указывает на успех), но значение длины вывода будет отрицательным. Это может привести к некорректному поведению или сбою приложений. OpenSSL версий 1.1.1i и ниже подвержены этой проблеме. Пользователям этих версий следует обновиться до OpenSSL 1.1.1j. OpenSSL версий 1.0.2x и ниже подвержены этой проблеме. Однако OpenSSL 1.0.2 больше не поддерживается и больше не получает публичные обновления. Клиенты, пользующиеся премиум-поддержкой OpenSSL 1.0.2, должны обновиться до версии 1.0.2y. Другим пользователям следует обновиться до версии 1.1.1j. Исправлено в OpenSSL 1.1.1j (затронуты версии 1.1.1-1.1.1i). Исправлено в OpenSSL 1.0.2y (затронуты версии 1.0.2-1.0.2x).

CVE-2021-22696CXF поддерживает (через JwtRequestCodeFilter) передачу параметров OAuth 2 через JWT-токен, в отличие от параметров запроса (см.: Рамки авторизации OAuth 2.0: JWT Закрепленный Запрос на Авторизацию (JAR)). Вместо отправки JWT-токена как параметра "request" спецификация также поддерживает указание URI для получения JWT-токена через параметр "request_uri". CXF не проверял параметр "request_uri" (кроме обеспечения его использования "https") и делал REST-запрос к параметру в запросе для получения токена. Это означает, что CXF подвержен атакам DDos на сервер авторизации, как указано в разделе 10.4.1 спецификации. Эта проблема затрагивает версии Apache CXF ранее 3.4.3; версии Apache CXF ранее 3.3.10.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →