奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Spring Framework 遠程代碼執行漏洞
公開時間
2022-03-29
更新時間
2022-07-20
CVE編號
CVE-2022-22965
其他編號
QVD-2022-1691
威脅類型
代碼執行
技術類型
任意文件寫入
廠商
Spring
產品
Spring Framework
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
已公開
已公開
已發現
已公開
漏洞描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼,實現遠程代碼執行,成功利用此漏洞可導致 Oracle WebLogic Server 被接管。
影響版本
Spring Framework 5.3.X < 5.3.18
Spring Framework 5.2.X < 5.2.20
註:已停止維護的更小版本均受此漏洞影響
其他受影響組件
Oracle WebLogic Server == 12.2.1.3.0
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
漏洞名稱
Dojo 原型污染漏洞
公開時間
2021-12-17
更新時間
2022-07-20
CVE編號
CVE-2021-23450
其他編號
QVD-2021-3594
威脅類型
代碼執行
技術類型
原型污染
廠商
Dojo
產品
Dojo Toolkit
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
已公開
未公開
未發現
未公開
漏洞描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo,允許未經身份驗證的攻擊者通過 HTTP 訪問來攻擊 Oracle WebLogic Server,成功利用此漏洞可導致Oracle WebLogic Server 被接管。
影響版本
Dojo < 1.17.2
其他受影響組件
Oracle WebLogic Server == 12.2.1.4.0
Oracle WebLogic Server == 14.1.1.0.0
漏洞名稱
OWASP ESAPI 路徑遍歷漏洞
公開時間
2022-07-20
更新時間
2022-07-20
CVE編號
CVE-2022-23457
其他編號
QVD-2022-5748
威脅類型
信息泄漏
技術類型
路徑遍歷
廠商
OWASP
產品
Enterprise Security API(ESAPI)
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
未公開
未公開
未發現
已公開
漏洞描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方產品 OWASP Enterprise Security API,允許未經身份驗證的攻擊者通過 HTTP 訪問來攻擊 Oracle WebLogic Server,成功利用此漏洞可導致 Oracle WebLogic Server 被接管。
影響版本
OWASP Enterprise Security API < 2.3.0.0
其他受影響組件
Oracle WebLogic Server==12.2.1.3.0
Oracle WebLogic Server==12.2.1.4.0
Oracle WebLogic Server==14.1.1.0.0
漏洞名稱
Oracle Coherence拒絕服務漏洞
公開時間
2022-07-20
更新時間
2022-07-20
CVE編號
CVE-2022-21570
其他編號
QVD-2022-11444
威脅類型
拒絕服務
技術類型
不安全的反序列化
廠商
Oracle
產品
Coherence
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
未公開
未公開
未發現
未公開
漏洞描述
Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞,允許未經身份驗證的攻擊者通過 T3、IIOP 訪問來攻擊服務器,成功利用此漏洞可能會導致 Oracle Coherence 掛起或頻繁服務崩潰。
影響版本
Oracle Coherence==3.7.1.0
Oracle Coherence==12.2.1.3.0
Oracle Coherence==12.2.1.4.0
Oracle Coherence==14.1.1.0.0
其他受影響組件
無
漏洞名稱
Oracle WebLogicServer拒絕服務漏洞
公開時間
2022-07-20
更新時間
2022-07-20
CVE編號
CVE-2022-21548
其他編號
QVD-2022-11445
威脅類型
拒絕服務
技術類型
不安全的反序列化
廠商
Oracle
產品
WebLogic Server
風險等級
奇安信CERT風險評級
風險等級
中危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
未公開
未公開
未發現
未公開
漏洞描述
Oracle Fusion Middleware的Oracle WebLogic Server中存在漏洞,允許未經身份驗證的攻擊者通過 T3、IIOP 訪問來攻擊Oracle WebLogic Server,成功利用此漏洞可導致對Oracle WebLogic Server 某些可訪問數據的未經授權的更新、插入或刪除,同時可造成一定程度的拒絕服務。
影響版本
Oracle WebLogic Server==12.2.1.3.0
Oracle WebLogic Server==12.2.1.4.0
Oracle WebLogic Server==14.1.1.0.0
其他受影響組件
無
威脅評估
漏洞名稱
Spring Framework 遠程代碼執行漏洞
CVE編號
CVE-2022-22965
其他編號
QVD-2022-1691
CVSS 3.1評級
高危
CVSS 3.1分數
9.8
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼,實現遠程代碼執行,成功利用此漏洞可導致 Oracle WebLogic Server 被接管。
漏洞名稱
Dojo 原型污染漏洞
CVE編號
CVE-2021-23450
其他編號
QVD-2021-3594
CVSS 3.1評級
高危
CVSS 3.1分數
9.8
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo,允許未經身份驗證的攻擊者通過 HTTP 訪問來攻擊 Oracle WebLogic Server,成功利用此漏洞可導致 Oracle WebLogic Server 被接管。
漏洞名稱
OWASP ESAPI 路徑遍歷漏洞
CVE編號
CVE-2022-23457
其他編號
QVD-2022-5748
CVSS 3.1評級
高危
CVSS 3.1分數
9.8
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方產品 OWASP Enterprise Security API,允許未經身份驗證的攻擊者通過 HTTP 訪問來攻擊 Oracle WebLogic Server,成功利用此漏洞可導致 Oracle WebLogic Server 被接管。
漏洞名稱
Oracle Coherence 拒絕服務漏洞
CVE編號
CVE-2022-21570
其他編號
QVD-2022-11444
CVSS 3.1評級
高危
CVSS 3.1分數
7.5
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
無
完整性影響(I)
可用性影響(A)
無
高
危害描述
Oracle Coherence 的Core組件中存在漏洞,允許未經身份驗證的攻擊者通過 T3/IIOP 訪問服務器來攻擊 Oracle Coherence,成功利用此漏洞可能會導致 Oracle Coherence 掛起或DOS。
漏洞名稱
Oracle WebLogic Server拒絕服務漏洞
CVE編號
CVE-2022-21548
其他編號
QVD-2022-11445
CVSS 3.1評級
中危
CVSS 3.1分數
6.5
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
需要
影響範圍(S)
機密性影響(C)
不變
無
完整性影響(I)
可用性影響(A)
低
低
危害描述
未經身份驗證的攻擊者可通過 T3、IIOP 進行網絡訪問來破壞 Oracle WebLogic Server。成功利用此漏洞可導致對 Oracle WebLogic Server 某些可訪問數據的未經授權的更新、插入或刪除,同時可造成一定程度的拒絕服務。
處置建議
請參考以下鏈接儘快修復:
https://www.oracle.com/security-alerts/cpujul2022.html
Oracle WebLogic Server升級方式
1. Oracle WebLogic Server 11g:
出現以上提示代表補丁安裝成功。
2. Oracle WebLogic Server 12c:
使用opatch apply 安裝補丁
C:\Oracle\Middleware\Oracle_Home\OPatch>opatch apply 本機補丁地址
註:補丁編號請自行更改為新補丁編號。
若非必須開啟,請禁用T3和IIOP協議。
禁用T3、IIOP協議具體操作步驟如下:
1. 禁用T3:
2. 禁用IIOP:
用戶可通過關閉IIOP協議阻斷針對利用IIOP協議漏洞的攻擊,操作如下:
在WebLogic控制台中,選擇「服務」->」AdminServer」->」協議」,取消「啟用IIOP」的勾選。並重啟WebLogic項目,使配置生效。
參考資料
[1]https://www.oracle.com/security-alerts/cpujul2022.html
時間線
2022年7月20日,奇安信 CERT發布安全風險通告。
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表