Oracle PeopleSoft Products PeopleSoft Enterprise PeopleTools 安全漏洞

CVE编号

CVE-2020-2782

利用情况

暂无

补丁情况

N/A

披露时间

2020-04-16

漏洞描述

Oracle PeopleSoft Products是美国甲骨文（Oracle）公司的一套企业人力资本管理解决方案。该产品提供了人力资本管理、财务管理、供应商关系管理等功能。PeopleSoft Enterprise PeopleTools是其中的一个支持转变企业管理、PeopleSoft软件的使用以及维护方式的工具和技术平台组件。 Oracle PeopleSoft中的PeopleSoft Enterprise PeopleTools 8.56版本，8.57版本和8.58版本的Query组件存在安全漏洞。攻击者可利用该漏洞未授权读取、更新、插入或删除数据，造成拒绝服务，影响数据的可用性、保密性和完整性。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://www.oracle.com/security-alerts/cpuapr2020.html

参考链接
https://www.oracle.com/security-alerts/cpuapr2020.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	oracle	peoplesoft_enterprise_peopletools	8.56	-
	运行在以下环境
	应用	oracle	peoplesoft_enterprise_peopletools	8.57	-
	运行在以下环境
	应用	oracle	peoplesoft_enterprise_peopletools	8.58	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	kernel	*		Up to (excluding) 4.19.91-23.al7
	运行在以下环境
	系统	amazon_2	qemu	*		Up to (excluding) 2.4.0-4.amzn2
	运行在以下环境
	系统	amazon_AMI	jasper	*		Up to (excluding) 4.14.219-119.340.amzn1
	运行在以下环境
	系统	anolis_os_7	kernel	*		Up to (excluding) 4.19
	运行在以下环境
	系统	anolis_os_8	kernel	*		Up to (excluding) 4.18
	运行在以下环境
	系统	centos_8	openjpeg2	*		Up to (excluding) 1.40.2-27.module+el8.4.0+9282+0bdec052
	运行在以下环境
	系统	fedora_32	jasper-devel	*		Up to (excluding) 2.3.1-11.fc32
	运行在以下环境
	系统	fedora_33	jasper-devel	*		Up to (excluding) 2.3.1-10.fc33
	运行在以下环境
	系统	fedora_36	lldpd-debuginfo	*		Up to (excluding) 1.0.16-1.fc36
	运行在以下环境
	系统	fedora_37	lldpd-debuginfo	*		Up to (excluding) 1.0.16-1.fc37
	运行在以下环境
	系统	fedora_38	lldpd-debuginfo	*		Up to (excluding) 1.0.16-1.fc38
	运行在以下环境
	系统	fedora_EPEL_7	openjpeg2	*		Up to (excluding) 2.3.1-11.el7
	运行在以下环境
	系统	fedora_EPEL_8	converseen	*		Up to (excluding) 0.9.8.1-2.el8
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	openjpeg2	*		Up to (excluding) 2.3.1-6.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	qemu	*		Up to (excluding) 4.1.0-32.p11.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	openjpeg2	*		Up to (excluding) 2.3.1-6.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	qemu	*		Up to (excluding) 4.1.0-32.p11.ky10
	运行在以下环境
	系统	opensuse_Leap_15.1	kernel	*		Up to (excluding) 4.12.14-lp151.28.91.1
	运行在以下环境
	系统	opensuse_Leap_15.2	kernel	*		Up to (excluding) 4.2.1-lp152.9.12.1
	运行在以下环境
	系统	opensuse_Leap_15.3	libopenjp2-7-32bit	*		Up to (excluding) 5.3.18-59.40.1
	运行在以下环境
	系统	opensuse_Leap_15.4	libopenjp2-7-32bit	*		Up to (excluding) 4.12.14-197.105.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 4.2.1-9.el7
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 4.2.0-48.module+el8.4.0+20158+f6690737
	运行在以下环境
	系统	redhat_8	openjpeg2	*		Up to (excluding) 1.40.2-27.module+el8.4.0+9282+0bdec052
	运行在以下环境
	系统	suse_12_SP5	libopenjp2	*		Up to (excluding) 3.1.1.1-48.2
	运行在以下环境
	系统	ubuntu_16.04.7_lts	openjpeg2	*		Up to (excluding) 2.1.2-1.1+deb9u6build0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	linux	*		Up to (excluding) 4.13.0-16.19

CVSS3评分 7.1

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 需要
• 可用性 低
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com