一、 漏洞描述
2022 年 4 月 20 日, Oracle 官方发布安全 补丁的通告,共发布了 54 个安全补丁,其中包括 8 个 WebLogic 组件 重点漏洞。如下表:
序号 | 漏洞编号 | 影响版本 | 严重等级 |
1 | CVE-2022-23305 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 严重 |
2 | CVE-2022-21420 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 严重 |
3 | CVE-2022-21441 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 高危 |
4 | CVE-2022-23437 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 高危 |
5 | CVE-2022-21453 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 中危 |
6 | CVE-2021-41184 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 中危 |
7 | CVE-2021-28170 | 14.1.1.0.0 | 中危 |
8 | CVE-2020-8908 | 14.1.1.0.0 | 中危 |
二、 严重漏洞详情
CVE-2022-23305 : Oracle WebLogic Server 远程代码执行漏洞
CVE: CVE-2022-23305
组件: Oracle WebLogic Server
漏洞类型: 代码问题
影响: 远程代码执行
简述: 该漏洞为严重等级漏洞,攻击者可以在未授权的情况下通 过 HTTP 协议对存在漏洞的 Oracle WebLogic Server 组件进行攻击, 成功利用该漏洞的攻击者可以接管 Oracle WebLogic Server。
CVE-2022-21420 : Oracle WebLogic Server 远程代码执行漏洞
CVE: CVE-2022-21420
组件: Oracle WebLogic Server
漏洞类型: 代码问题
影响: 远程代码执行
简述: 该漏洞为严重等级漏洞,攻击者可以在未授权的情况下通 过 T3 协议对存在漏洞的 Oracle WebLogic Server 组件进行攻击,成功 利用该漏洞的攻击者可以接管 Oracle WebLogic Server。
三、 影响版本
见一·漏洞描述
四、 安全版本
大于受影响版本
五、 安全建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时 更新官方的安全补丁。链接如下:
https://www.oracle.com/security-alerts/cpuapr2022.html