Oracle Primavera远程安全漏洞

CVE编号

CVE-2018-2966

利用情况

暂无

补丁情况

N/A

披露时间

2018-07-19

漏洞描述

Oracle构造和工程套件（子组件：核心）的Primavera Unifier组件中的漏洞。受影响的受支持版本是16.x，17.x和18.x.易于利用的漏洞允许通过HTTP进行网络访问的未经身份验证的攻击者破坏Primavera Unifier。成功的攻击需要攻击者以外的人进行人工交互，而且当漏洞位于Primavera Unifier时，攻击可能会对其他产品产生重大影响。成功攻击此漏洞可能导致对关键数据或所有Primavera Unifier可访问数据的未授权创建，删除或修改访问。 CVSS 3.0基本分数7.4（完整性影响）。 CVSS载体：（CVSS：3.0 / AV：N / AC：L / PR：N / UI：R / S：C / C：N / I：H / A：N）。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

参考链接
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.securityfocus.com/bid/104823

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	oracle	primavera_unifier	16.1	-
	运行在以下环境
	应用	oracle	primavera_unifier	16.2	-
	运行在以下环境
	应用	oracle	primavera_unifier	16.2.1.0	-
	运行在以下环境
	应用	oracle	primavera_unifier	16.2.4.0	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.1	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.10	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.11	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.12	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.2	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.3	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.4	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.5	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.6	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.7	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.8	-
	运行在以下环境
	应用	oracle	primavera_unifier	17.9	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.1	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.2	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.3	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.4	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.5	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.6	-
	运行在以下环境
	应用	oracle	primavera_unifier	18.7	-

CVSS3评分 7.4

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N CWE-ID 漏洞类型 NVD-CWE-noinfo