Oracle WebLogic Server 4月安全更新通告

 漏洞资讯     |      2022-04-21

一、  漏洞描述

2022 年 4 月 20 日, Oracle 官方发布安全 补丁的通告,共发布了 54 个安全补丁,其中包括 8 个 WebLogic 组件 重点漏洞。如下表:

序号

漏洞编号

影响版本

严重等级

1

CVE-2022-23305

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

严重

2

CVE-2022-21420

12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

严重

3

CVE-2022-21441

12.2.1.3.0  12.2.1.4.0 14.1.1.0.0

高危

4

CVE-2022-23437

12.2.1.3.0  12.2.1.4.0 14.1.1.0.0

高危

5

CVE-2022-21453

12.2.1.3.0  12.2.1.4.0 14.1.1.0.0

中危

6

CVE-2021-41184

12.2.1.3.0  12.2.1.4.0 14.1.1.0.0

中危

7

CVE-2021-28170

14.1.1.0.0

中危

8

CVE-2020-8908

14.1.1.0.0

中危

二、  严重漏洞详情

CVE-2022-23305 : Oracle WebLogic Server 远程代码执行漏洞

CVE: CVE-2022-23305 

组件: Oracle WebLogic Server

漏洞类型: 代码问题

影响: 远程代码执行

简述: 该漏洞为严重等级漏洞,攻击者可以在未授权的情况下通 过 HTTP 协议对存在漏洞的 Oracle WebLogic Server 组件进行攻击, 成功利用该漏洞的攻击者可以接管 Oracle WebLogic Server。

CVE-2022-21420 : Oracle WebLogic Server 远程代码执行漏洞

CVE: CVE-2022-21420 

组件: Oracle WebLogic Server

漏洞类型: 代码问题

影响: 远程代码执行

简述: 该漏洞为严重等级漏洞,攻击者可以在未授权的情况下通 过 T3 协议对存在漏洞的 Oracle WebLogic Server 组件进行攻击,成功 利用该漏洞的攻击者可以接管 Oracle WebLogic Server。

三、  影响版本

见一·漏洞描述

四、  安全版本

大于受影响版本

五、  安全建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时 更新官方的安全补丁。链接如下:

https://www.oracle.com/security-alerts/cpuapr2022.html