Oracle WebLogic Server 4月安全更新通告

 漏洞資訊     |      2022-04-21

一、  漏洞描述

2022 年 4 月 20 日, Oracle 官方發(fā)布安全 補(bǔ)丁的通告,共發(fā)布了 54 個(gè)安全補(bǔ)丁,其中包括 8 個(gè) WebLogic 組件 重點(diǎn)漏洞。如下表:

序號(hào)

漏洞編號(hào)

影響版本

嚴(yán)重等級(jí)

1

CVE-2022-23305

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

嚴(yán)重

2

CVE-2022-21420

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

嚴(yán)重

3

CVE-2022-21441

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

高危

4

CVE-2022-23437

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

高危

5

CVE-2022-21453

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

中危

6

CVE-2021-41184

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

中危

7

CVE-2021-28170

14.1.1.0.0

中危

8

CVE-2020-8908

14.1.1.0.0

中危

二、  嚴(yán)重漏洞詳情

CVE-2022-23305 : Oracle WebLogic Server 遠(yuǎn)程代碼執(zhí)行漏洞

CVE: CVE-2022-23305 

組件: Oracle WebLogic Server

漏洞類型: 代碼問題

影響: 遠(yuǎn)程代碼執(zhí)行

簡(jiǎn)述: 該漏洞為嚴(yán)重等級(jí)漏洞,攻擊者可以在未授權(quán)的情況下通 過 HTTP 協(xié)議對(duì)存在漏洞的 Oracle WebLogic Server 組件進(jìn)行攻擊, 成功利用該漏洞的攻擊者可以接管 Oracle WebLogic Server。

CVE-2022-21420 : Oracle WebLogic Server 遠(yuǎn)程代碼執(zhí)行漏洞

CVE: CVE-2022-21420 

組件: Oracle WebLogic Server

漏洞類型: 代碼問題

影響: 遠(yuǎn)程代碼執(zhí)行

簡(jiǎn)述: 該漏洞為嚴(yán)重等級(jí)漏洞,攻擊者可以在未授權(quán)的情況下通 過 T3 協(xié)議對(duì)存在漏洞的 Oracle WebLogic Server 組件進(jìn)行攻擊,成功 利用該漏洞的攻擊者可以接管 Oracle WebLogic Server。

三、  影響版本

見一·漏洞描述

四、  安全版本

大于受影響版本

五、  安全建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí) 更新官方的安全補(bǔ)丁。鏈接如下:

https://www.oracle.com/security-alerts/cpuapr2022.html