免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1Spring Framework 远程代码执行漏洞(CVE-2022-22965)
一、漏洞描述:
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码,实现远程代码执行,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server == 12.2.1.3.0
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
Oracle Coherence==3.7.1.0
Oracle Coherence==12.2.1.3.0
Oracle Coherence==12.2.1.4.0
Oracle Coherence==14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujul2022.html
2 Dojo 原型污染漏洞(CVE-2021-23450)
一、漏洞描述:
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,成功利用此漏洞可导致Oracle WebLogic Server 被接管。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server == 12.2.1.3.0
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
Oracle Coherence==3.7.1.0
Oracle Coherence==12.2.1.3.0
Oracle Coherence==12.2.1.4.0
Oracle Coherence==14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujul2022.html
3 OWASP ESAPI 路径遍历漏洞( CVE-2022-23457)
一、漏洞描述:
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API。OWASP ESAPI中Validator.getValidDirectoryPath(String, String, File, boolean) 的默认实现可能会错误地将测试的输入字符串视为指定父目录的子目录。如果攻击可以指定表示"input"路径的整个字符串,这可能会导致控流检查被绕过。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server == 12.2.1.3.0
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
Oracle Coherence==3.7.1.0
Oracle Coherence==12.2.1.3.0
Oracle Coherence==12.2.1.4.0
Oracle Coherence==14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujul2022.html
4 Oracle Coherence拒绝服务漏洞 (CVE-2022-21570)
一、漏洞描述:
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞,允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击服务器,成功利用此漏洞可能会导致 Oracle Coherence 挂起或频繁服务崩溃。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server == 12.2.1.3.0
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
Oracle Coherence==3.7.1.0
Oracle Coherence==12.2.1.3.0
Oracle Coherence==12.2.1.4.0
Oracle Coherence==14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujul2022.html |