奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Oracle JDeveloper ADF Faces遠程代碼執行漏洞
公開時間
2022-04-19
更新時間
2022-06-24
CVE編號
CVE-2022-21445
其他編號
QVD-2022-5464
威脅類型
代碼執行
技術類型
不可信數據的反序列化
廠商
Oracle
產品
Oracle JDeveloper
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
未發現
未發現
未發現
已公開
漏洞描述
Oracle JDeveloper ADF Faces中存在不安全的反序列化漏洞,未經身份認證的遠程攻擊者可利用該漏洞實現不可信數據的反序列化,可在受影響的服務器中執行任意代碼。
影響版本
Oracle JDeveloper == 12.2.1.3.0
Oracle JDeveloper == 12.2.1.4.0
不受影響版本
其他受影響組件
Oracle Business Intelligence
Oracle Enterprise Manager
Oracle Identity Management
Oracle SOA Suite
Oracle WebCenter Portal
Oracle Application Testing Suite
Oracle Transportation Management
Oracle Access Manager
(任何基於ADF Faces 框架開發的程序均受此漏洞影響)
風險等級
威脅評估
漏洞名稱
Oracle JDeveloper ADF Faces遠程代碼執行漏洞
CVE編號
CVE-2022-21445
其他編號
QVD-2022-5464
CVSS 3.1評級
高危
CVSS 3.1分數
9.8
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
用戶認證(Au)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不改變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
Oracle JDeveloper ADF Faces中存在不安全的反序列化漏洞,未經身份認證的遠程攻擊者可利用反序列化漏洞實現任意代碼執行,任何基於ADF Faces框架開發的程序都受此漏洞影響。
處置建議
目前官方已在Oracle 4月份關鍵安全補丁集合更新CPU(Critical Patch Update)中修復此漏洞,請及時更新。
參考資料
[1]https://www.oracle.com/security-alerts/cpuapr2022.html
[2]https://peterjson.medium.com/miracle-one-vulnerability-to-rule-them-all-c3aed9edeea2
時間線
2022年6月24日,奇安信 CERT發布安全風險通告
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表