【烽火狼烟】Oracle WebLogic多个组件漏洞风险提示

安全预警，防患未然

首页 > 烽火狼烟

Oracle WebLogic多个组件漏洞风险提示

漏洞概述

近日，WebRAY安全服务产品线监测到Oracle官方发布了安全更新，本次共发布了包含WebLogic在内的433个产品的安全补丁程序，其中CVE-2023-21912、CVE-2023-21996、CVE-2023-21964、CVE-2023-21931、CVE-2023-21979等较为严重。

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件；WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebRAY安全服务产品线将持续关注该漏洞进展，并及时为您更新该漏洞信息。

部分漏洞详细介绍

Oracle WebLogic Server拒绝服务漏洞

CVE-2023-21996：未经身份验证的攻击者可以通过HTTP协议进行网络访问从而实施拒绝服务攻击，成功利用该漏洞可能导致Oracle WebLogic Server服务挂起或频繁崩溃。

Oracle WebLogic Server信息泄露漏洞

CVE-2023-21931：攻击者可通过T3协议对存在漏洞的Oracle WebLogic Server Core组件进行攻击，成功利用后攻击者可以非法访问或对所有Oracle WebLogic Server可访问数据进行完全访问。

影响范围

漏洞编号	影响产品	影响组件	受影响协议	评分	影响版本
CVE-2023-24998	Oracle WebLogic Server	Console (Apache Commons FileUpload)	HTTP	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2023-24998		Third Party (Apache Commons FileUpload)	HTTP	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2023-21996		Web Services	HTTP	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2023-21979		Core	T3	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2023-21964		Core	T3	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2023-21931		Core	T3	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-45685		Third Party (Jettison)	HTTP	7.5	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-40152		Samples (XStream)	HTTP	7.5	12.2.1.4.0 14.1.1.0.0
CVE-2021-36090		Third Party (Apache Commons Compress)	HTTP	7.5	12.2.1.4.0 14.1.1.0.0
CVE-2021-31684		Third Party (json-smart)	HTTP	7.5	12.2.1.4.0 14.1.1.0.0

漏洞等级

WebRAY安全服务产品线风险评级：高危

修复建议

参考Oracle官网发布的补丁信息：

https://www.oracle.com/security-alerts/cpuapr2023.html

关于您的项目需求

关于您的项目需求