查看原文
其他

Oracle 警告:Weblogic 服务器中含有多个可遭远程利用的严重漏洞

Ravie Lakshmanan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


本周二,Oracle 发布2021年7月关键补丁季度更新,发布了多款产品的342个修复方案,其中某些可遭远程攻击者用于控制受影响系统。


Oracle WebLogic Server 是一款应用服务器,是开发、部署和运行企业级 Java 应用程序的平台。

其中最主要的是 CVE-2019-2729,是存在于 Oracle WebLogic Server Web Services 中可通过 XMLDecoder 触发的严重的反序列化漏洞,可在无需认证的情况下遭远程利用。值得注意的是,该弱点最初在2019年6月发布的带外安全更新中解决。该漏洞的 CVSS 评分为9.8分,影响 WebLogic Server 版本11.1.2.4和 11.2.5.0,存在于 Oracle Hyperion Infrastructure Technology 中。

Oracle 还修复了 WebLogic Server 中的另外6个漏洞,其中3个漏洞的评分为9.8分,它们是:

  • CVE-2021-2394 (CVSS 评分9.8)

  • CVE-2021-2397 (CVSS 评分9.8)

  • CVE-2021-2382 (CVSS 评分9.8)

  • CVE-2021-2378 (CVSS 评分7.5)

  • CVE-2021-2376 (CVSS 评分7.5)

  • CVE-2021-2403 (CVSS 评分5.3)

这些缺陷远非 WebLogic Server 中首次出现严重漏洞。今年早些时候,Oracle 发布2021年4月补丁更新,修复了两个漏洞 CVE-2021-2135和CVE-2021-2136以及其它可导致任意代码执行的漏洞。

建议Oracle 客户快速应用这些更新,保护系统免受潜在攻击风险。







推荐阅读
一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞
WebLogic UniversalExtractor反序列化漏洞(CVE-2020-14645)的复现和分析
Oracle Coherence&WebLogic反序列化远程代码执行漏洞安全风险通告




原文链接

https://thehackernews.com/2021/07/oracle-warns-of-critical-remotely.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存