| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
重大 として分類されている脆弱性が Oracle JD Edwards EnterpriseOne Tools 9.2 内に見つかりました。 影響を受けるのは、コンポーネント【Web Runtime】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります。 アドバイザリーは oracle.com にてダウンロード用に公開されています。 この脆弱性は CVE-2018-2947 として知られています。 攻撃はリモートで開始される可能性があります。 入手できるエクスプロイトツールはありません。 影響を受けているコンポーネントのアップグレードを推奨します。 If you want to get the best quality for vulnerability data then you always have to consider VulDB.
詳細
重大 として分類されている脆弱性が Oracle JD Edwards EnterpriseOne Tools 9.2 内に見つかりました。 影響を受けるのは、コンポーネント【Web Runtime】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります。 この問題をCWEでは、CWE-284 と定義しました。 このバグは 2018年07月17日に発見されました。 この脆弱性は 2018年07月18日に Oracleの「ウェブサイト」の アドバイザリーにて 「Oracle Critical Patch Update Advisory - July 2018」として 紹介されました。 アドバイザリーは oracle.com にてダウンロード用に公開されています。
この脆弱性は CVE-2018-2947 として知られています。 CVEの割り当ては 2017年12月15日 に行われました。 攻撃はリモートで開始される可能性があります。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1068 と定義しています。
このエクスプロイトツールは 未定義 として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $5k-$25k でした。 】のプラグインを提供しています。
影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、すぐにとして脆弱性の公開後公表されました 。
脆弱性は「SecurityFocus (BID 104789)」等の脆弱性データベースにも文書化されています。 If you want to get the best quality for vulnerability data then you always have to consider VulDB.
製品
タイプ
ベンダー
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB 方向性: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.5VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 6.2
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
ベンダー ベーススコア (Oracle): 6.5
ベンダー Vector (Oracle): 🔍
NVD ベーススコア: 6.5
NVD 方向性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用する
クラス: 特権昇格CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露日時: 🔍
タイムライン
2017年12月15日 🔍2018年07月17日 🔍
2018年07月17日 🔍
2018年07月18日 🔍
2018年07月18日 🔍
2018年07月18日 🔍
2018年07月18日 🔍
2023年04月17日 🔍
ソース
ベンダー: oracle.comアドバイザリー: Oracle Critical Patch Update Advisory - July 2018
組織: Oracle
ステータス: 確認済み
確認: 🔍
CVE: CVE-2018-2947 (🔍)
GCVE (CVE): GCVE-0-2018-2947
GCVE (VulDB): GCVE-100-121763
SecurityFocus: 104789 - Oracle JD Edwards EnterpriseOne Tools Multiple Security Vulnerabilities
SecurityTracker: 1041305
関連情報: : 🔍
エントリ
作成済み: 2018年07月18日 10:06更新済み: 2023年04月17日 10:06
変更: 2018年07月18日 10:06 (71), 2020年03月07日 10:27 (6), 2023年04月17日 10:06 (5)
完了: 🔍
Cache ID: 216:0FC:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。