漏洞风险提示（20220421）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Atlassian Bitbucket Data Center远程代码执行漏洞（CVE-2022-26133）
一、漏洞描述：     
       
        Atlassian Bitbucket Data Center 是 Atlassian 推出的一款现代化代码协作平台，支持代码审查、分支权限管理、CICD 等功能。
        该漏洞是由于 Atlassian Bitbucket Data Center 中的 Hazelcast 接口功能未对用户数据进行有效过滤，导致存在反序列化漏洞而引起的。攻击者利用该漏洞可以构造恶意数据远程执行任意代码。只有当 Atlassian Bitbucket Data Center 以 Cluster 模式安装时，才可能受该漏洞影响。
二、风险等级：
           高危
三、影响范围：
        Atlassian Bitbucket Data Center >= 5.14.x
        Atlassian Bitbucket Data Center 6.x
        Atlassian Bitbucket Data Center < 7.6.14
        Atlassian Bitbucket Data Center < 7.16.x
        Atlassian Bitbucket Data Center < 7.17.6
        Atlassian Bitbucket Data Center < 7.18.4
        Atlassian Bitbucket Data Center < 7.19.4
        Atlassian Bitbucket Data Center 7.20.0
四、修复建议：
        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
        https://www.atlassian.com/software/bitbucket/download-archives

        用户可以通过以下方式自查 Bitbucket Data Center 是否是以 Cluster 模式安装的。打开 Bitbucket Data Center 的安装目录下的 confluence.cfg.xml 文件，若包含以下内容，则表明是以 Cluster 模式安装的。

1. <property name="confluence.cluster">true</property>

复制代码

---

2 WSO2 API Manager远程命令执行漏洞（CVE-2022-29464）
一、漏洞描述：     
       
        WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。
        WSO2 API Manager 存在安全漏洞，该漏洞允许无限制的文件上传和远程代码执行。
二、风险等级：
           高危
三、影响范围：
        WSO2 API Manager 2.2.0 and above
        WSO2 Identity Server 5.2.0 and above
        WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0, 5.6.0
        WSO2 Identity Server as Key Manager 5.3.0 and above
        WSO2 Enterprise Integrator 6.2.0 and above
四、修复建议：
        当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
        https://docs.wso2.com/display/Se ... sory+WSO2-2021-1738

---

3 Oracle WebLogic Server远程代码执行漏洞（CVE-2022-23305）
一、漏洞描述：     
       
        WebLogic 是美国 Oracle 公司出品的一个 Application Server，确切地说是一个基于 JAVAEE 架构的中间件，是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。WebLogic 将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中，是商业市场上主要的 Java（J2EE） 应用服务器软件（Application Server）之一，是世界上第一个成功商业化的 J2EE 应用服务器，具有可扩展性、快速开发、灵活、可靠性等优势。
        该漏洞为攻击者可以在未授权的情况下通过 HTTP 协议对存在漏洞的 Oracle WebLogic Server 组件进行攻击，成功利用该漏洞的攻击者可以接管Oracle WebLogic Server。
二、风险等级：
           高危
三、影响范围：
        Weblogic Server 12.2.1.3.0
        Weblogic Server 12.2.1.4.0
        Weblogic Server 14.1.1.0.0
四、修复建议：
        当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
        https://www.oracle.com/security-alerts/cpuapr2022.html

        用户可以通过进入 WebLogic 安装主目录下的 OPatch 目录，在此处打开命令行，输入 .\opatch lspatches 命令，查看设备补丁号是否为 31656851。

---

4 Oracle WebLogic Server远程代码执行漏洞（CVE-2022-21420）
一、漏洞描述：     
       
        WebLogic 是美国 Oracle 公司出品的一个 Application Server，确切地说是一个基于 JAVAEE 架构的中间件，是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。WebLogic 将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中，是商业市场上主要的 Java（J2EE） 应用服务器软件（Application Server）之一，是世界上第一个成功商业化的 J2EE 应用服务器，具有可扩展性、快速开发、灵活、可靠性等优势。
        该漏洞为攻击者可以在未授权的情况下通过T3协议对存在漏洞的Oracle WebLogic Server组件进行攻击，成功利用该漏洞的攻击者可以接管Oracle WebLogic Server。
二、风险等级：
           高危
三、影响范围：
        Weblogic Server 12.2.1.3.0
        Weblogic Server 12.2.1.4.0
        Weblogic Server 14.1.1.0.0
四、修复建议：
        当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
        https://www.oracle.com/security-alerts/cpuapr2022.html

        用户可以通过进入 WebLogic 安装主目录下的 OPatch 目录，在此处打开命令行，输入 .\opatch lspatches 命令，查看设备补丁号是否为 31656851。

---