近日,弘沿科技团队监测发现Oracle发布了10月份安全更新,本次更新共包含387个新安全补丁,涉及Oracle 和第三方组件中的漏洞。
对此,弘沿科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
1、漏洞概述
CVE | 产品 | 涉及组件 | 协议 | 是否远程利用 | CVSS评分 | 影响范围 |
CVE-2023-22069 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 9.8 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-22072 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 9.8 | 12.2.1.3.0 |
CVE-2023-22089 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 9.8 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-22101 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 8.1 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-22086 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 7.5 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-22108 | Oracle WebLogic Server | Core | T3、IIOP | 是 | 7.5 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-2976 | Oracle WebLogic Server | 集中式第三方Jars(Google Guava) | 无 | 否 | 7.1 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-35116 | Oracle WebLogic Server | 集中式第三方Jars (jackson-databind) | 无 | 否 | 4.7 | 12.2.1.4.0、14.1.1.0.0 |
CVE-2023-22069/CVE-2023-22072/CVE-2023-22089:Oracle WebLogic Server远程代码执行漏洞(严重)
Oracle WebLogic Server(组件:Core)存在漏洞,未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server,成功利用这些漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。
2、漏洞危害
3、影响版本
4、解决措施
