漏洞概述
近日,WebRAY安全服务产品线监测到Oracle官方发布了2022年7月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个安全漏洞,漏洞编号包含但不限于:CVE-2022-21570、CVE-2022-21548、CVE-2021-23450、CVE-2022-23457、CVE-2022-22965。
其中CVE-2021-23450、CVE-2022-23457、CVE-2022-22965影响较为严重。由于漏洞危害较大,WebRAY安全服务产品线建议广大用户及时安装本次的关键安全补丁,做好预防工作,以免遭受攻击。WebRAY安全服务产品线也将持续关注漏洞进展,并及时为您更新漏洞信息。
部分漏洞详细介绍:
Spring Framework远程代码执行漏洞
CVE-2022-22965:由于引入的第三方框架Spring Framework,导致攻击者可以在JDK 9 及以上版本的环境中通过发送精心构造的请求,造成远程代码执行从而成功接管Oracle WebLogic Server服务。
Dojo原型污染漏洞
CVE-2021-23450:该漏洞允许未经身份验证的攻击者通过HTTP访问服务器,由于引用的第三方工具Dojo导致成功利用此漏洞可以接管Oracle WebLogic Server服务。</section>
OWASP ESAPI路径遍历漏洞
CVE-2022-23457:该漏洞由于引入的第三方产品OWASP Enterprise Security API,导致未经身份验证的攻击者可以通过 HTTP 访问并攻击Oracle WebLogic Server,成功利用此漏洞即可接管Oracle WebLogic Server服务。
影响范围

漏洞等级
WebRAY安全服务产品线风险评级:高危
修复建议
官方已发布安全版本,请及时下载更新。
https://www.oracle.com/security-alerts/cpujul2022.html