大工网安告[2022]029号

一、情况分析

近日Oracle发布第三季度安全更新，此次安全更新涉及的漏洞涵盖了Oracle旗下众多产品，其中CVE-2022-23457、CVE-2021-23450、CVE-2022-22965涉及WebLogic评分均为9.8分，漏洞危害较大，建议尽快更新至安全版本。

1.1漏洞描述

CVE-2022-23450：

Oracle WebLogic Server中引用了第三方工具Dojo，攻击者可以在未经身份验证的情况下通过HTTP访问来攻击Oracle WebLogic Server，从而获取WebLogic的权限。

CVE-2022-23457：

Oracle WebLogic Server中引用了OWASP Enterprise Security API，攻击者可以在未经身份验证的情况下通过HTTP访问来攻击Oracle WebLogic Server，从而获取WebLogic的权限。

CVE-2022-22965：

Oracle WebLogic Server中引用了第三方框架Spring Framework，在JDK 9及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码，实现远程代码执行，从而获取WebLogic的权限。

1.2漏洞等级

高危

1.3漏洞编号

CVE-2022-22965

CVE-2022-23450

CVE-2022-23457

二、影响版本

12.2.1.3.0；

12.2.1.4.0；

14.1.1.0.0

三、处置建议

Oracle官方已经发布安全补丁，建议用户尽快更新至安全版本，相关链接如下：

https://www.oracle.com/security-alerts/cpujul2022.html