一、 漏洞描述
2022 年 4 月 20 日, Oracle 官方發布安全 補丁的通告,共發布了 54 個安全補丁,其中包括 8 個 WebLogic 組件 重點漏洞。如下表:
序號 | 漏洞編號 | 影響版本 | 嚴重等級 |
1 | CVE-2022-23305 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 嚴重 |
2 | CVE-2022-21420 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 嚴重 |
3 | CVE-2022-21441 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 高危 |
4 | CVE-2022-23437 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 高危 |
5 | CVE-2022-21453 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 中危 |
6 | CVE-2021-41184 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 | 中危 |
7 | CVE-2021-28170 | 14.1.1.0.0 | 中危 |
8 | CVE-2020-8908 | 14.1.1.0.0 | 中危 |
二、 嚴重漏洞詳情
CVE-2022-23305 : Oracle WebLogic Server 遠程代碼執行漏洞
CVE: CVE-2022-23305
組件: Oracle WebLogic Server
漏洞類型: 代碼問題
影響: 遠程代碼執行
簡述: 該漏洞為嚴重等級漏洞,攻擊者可以在未授權的情況下通 過 HTTP 協議對存在漏洞的 Oracle WebLogic Server 組件進行攻擊, 成功利用該漏洞的攻擊者可以接管 Oracle WebLogic Server。
CVE-2022-21420 : Oracle WebLogic Server 遠程代碼執行漏洞
CVE: CVE-2022-21420
組件: Oracle WebLogic Server
漏洞類型: 代碼問題
影響: 遠程代碼執行
簡述: 該漏洞為嚴重等級漏洞,攻擊者可以在未授權的情況下通 過 T3 協議對存在漏洞的 Oracle WebLogic Server 組件進行攻擊,成功 利用該漏洞的攻擊者可以接管 Oracle WebLogic Server。
三、 影響版本
見一·漏洞描述
四、 安全版本
大于受影響版本
五、 安全建議
當前官方已發布受影響版本的對應補丁,建議受影響的用戶及時 更新官方的安全補丁。鏈接如下:
https://www.oracle.com/security-alerts/cpuapr2022.html