安全预警,防患未然
首页 > 烽火狼烟

WebLogic多个组件高危漏洞风险提示


漏洞概述


近日,WebRAY安全服务产品线监测到Oracle官网发布了2022年4月的补丁程序更新,并修复了多个Weblogic中的漏洞,经判断其中涉及无需身份验证即可远程利用的WebLogic高危漏洞包括:CVE-2022-23305(Oracle WebLogic Server远程代码执行漏洞)、CVE-2022-21420(Oracle Coherence远程代码执行漏洞)、CVE-2022-21441(Oracle WebLogic Server拒绝服务漏洞)。由于该类漏洞易于利用且影响范围较广,WebRAY安全服务产品线建议相关用户及时更新补丁。

WebLogic是美国Oracle公司出品的一款基于JAVAEE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


WebRAY安全服务产品线将持续关注该漏洞进展,并及时为您更新该漏洞信息。


部分漏洞详细介绍:


CVE-2022-23305 - Oracle WebLogic Server远程代码执行漏洞


由于Oracle WebLogic Server 中引用了第三方依赖Apache Log4j,此漏洞会对使用了Third Party Tools组件的进程造成影响。未经身份验证的攻击者通过构造特定的请求达到接管Oracle WebLogic Server的目的。


CVE-2022-21420 - Oracle Coherence远程代码执行漏洞


Oracle Coherence中存在远程代码执行漏洞,未经身份验证的攻击者通过 T3 协议构造特定的请求,在目标系统上远程执行任意代码,从而接管Oracle Coherence。


CVE-2022-21441 - Oracle WebLogic Server拒绝服务漏洞


Oracle WebLogic Server的Core中存在拒绝服务漏洞,远程未经身份验证的攻击者通过T3/IIOP协议进行拒绝服务 (DoS) 攻击。


影响范围


漏洞编号

影响组件

评分

受影响协议

安全版本

CVE-2022-23305

WebLogic Server

(Third Party Tools)

9.8

HTTP

12.2.1.3.0, 12.2.1.4.0,

14.1.1.0.0

CVE-2022-21420

WebLogic Server(Core)

9.8

T3

CVE-2022-21441

WebLogic Server(Core)

7.5

T3, IIOP


漏洞等级


WebRAY安全服务产品线风险评级:高危

修复建议


1、如果不依赖T3、IIOP协议进行JVM通信,可禁用T3、IIOP协议。

2、参考Oracle官网发布的补丁信息:https://www.oracle.com/security-alerts/cpuapr2022.html

关于您的项目需求

关于您的项目需求

  • 获取短信验证码
点击“提交”,表明我理解并同意