一、背景介绍
7月20日,市委网信办技术支撑单位监测到Oracle发布第三季度安全更新,此次安全更新涉及的漏洞涵盖了Oracle旗下众多产品,其中CVE-2022-23450、CVE-2022-23457、CVE-2022-22965涉及WebLogic评分均为9.8分,漏洞危害较大,建议尽快更新至安全版本。
1.1漏洞描述
CVE-2022-23450:Oracle WebLogic Server 中引用了第三方工具Dojo,攻击者可以在未经身份验证的情况下通过 HTTP 访问来攻击 Oracle WebLogic Server,从而获取WebLogic的权限。
CVE-2022-23457:Oracle WebLogic Server 中引用了OWASP Enterprise Security API,攻击者可以在未经身份验证的情况下通过 HTTP 访问来攻击 Oracle WebLogic Server,从而获取WebLogic的权限。
CVE-2022-22965:Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码,实现远程代码执行,从而获取WebLogic的权限。
1.2漏洞编号
CVE-2022-23450
CVE-2022-23457
CVE-2022-22965
1.3漏洞等级
高危
二、修复建议
2.1受影响版本:
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
2.2修复建议
Oracle官方已经发布安全补丁,建议用户尽快更新至安全版本,相关链接如下:
https://www.oracle.com/security-alerts/cpujul2022.html