7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Oracle官方发布了2022年4月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个存在于WebLogic中的漏洞包括CVE-2022-23305、CVE-2022-21420、CVE-2022-21441、CVE-2022-23437、CVE-2022-21453、CVE-2021-41184,漏洞详情如下:
CVE-2022-23305 Oracle WebLogic Server远程代码执行漏洞
漏洞类型:代码执行
风险等级:高危
漏洞描述:Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方依赖 Apache Log4j,允许未经身份验证的攻击者通过 HTTP 访问服务器,成功利用此漏洞可导致 Oracle WebLogic Server 被接管。
CVE-2022-21420 Oracle Coherence远程代码执行漏洞
漏洞类型: 代码执行
风险等级:高危
漏洞描述:Oracle Coherence中存在远程代码执行漏洞,允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence,成功利用此漏洞可接管 Oracle Coherence。
CVE-2022-21441 Oracle WebLogic Server拒绝服务漏洞
漏洞类型:拒绝服务
风险等级:高危
漏洞描述:Oracle WebLogic Server的Core中存在漏洞,允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server,成功利用此漏洞可能会导致 Oracle WebLogic Server 挂起或DOS。
CVE-2022-23437 Oracle WebLogic Server拒绝服务漏洞
漏洞类型: 拒绝服务
风险等级:中危
漏洞描述:Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致 Oracle WebLogic Server挂起或DOS。
CVE-2022-21453 CVE-2021-41184 Oracle WebLogic Server身份验证绕过漏洞
漏洞类型:身份验证绕过
风险等级:中危
漏洞描述:Oracle Fusion Middleware 的 Oracle WebLogic Server中存在漏洞,允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些 Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。
【受影响版本】
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Copyright 2009-2022 HKBGP Network
