2021年4月21日,Oracle官方发布了2021年4月份的安全更新,国家信息安全漏洞库(CNNVD)对其进行了收录。其中包含了9个与WebLogic相关的重要漏洞,攻击者可利用漏洞在未授权的情况下发送攻击数据,实现远程代码执行,最终控制WebLogic服务器。Oracle WebLogic Server12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0等多个版本均受漏洞影响。目前, Oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
Oracle WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle官方发布了2021年4月份的安全更新,其中包含了9个与WebLogic相关的重要漏洞,具体如下:
序号 |
漏洞名称 |
CNNVD编号 |
CVE编号 |
1 |
Oracle Fusion Middleware安全漏洞 |
CNNVD-202104-1365 |
CVE-2021-2214 |
2 |
Oracle WebLogic Server安全漏洞 |
CNNVD-202104-1391 |
CVE-2021-2294 |
3 |
Oracle Fusion Middleware安全漏洞 |
CNNVD-202104-1420 |
CVE-2021-2204 |
4 |
Oracle Fusion Middleware安全漏洞 |
CNNVD-202104-1449 |
CVE-2021-2142 |
5 |
Oracle Fusion Middleware安全漏洞 |
CNNVD-202104-1463 |
CVE-2021-2135 |
6 |
Oracle Fusion Middleware安全漏洞 |
CNNVD-202104-1474 |
CVE-2021-2157 |
7 |
Oracle Coherence安全漏洞 |
CNNVD-202104-1493 |
CVE-2021-2277 |
8 |
Oracle WebLogic Server安全漏洞 |
CNNVD-202104-1497 |
CVE-2021-2211 |
9 |
Oracle WebLogic Server安全漏洞 |
CNNVD-202104-1565 |
CVE-2021-2136 |
二、危害影响
攻击者可利用漏洞在未授权的情况下发送攻击数据,实现远程代码执行,最终控制WebLogic服务器。Oracle WebLogic 12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0等多个版本均受漏洞影响。具体影响范围可访问Oracle官方网站进行查询,官方链接如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
三、修复建议
目前, Oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。Oracle官方更新链接如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
本通报由CNNVD技术支撑单位——深信服科技股份有限公司、网神信息技术(北京)股份有限公司、北京华顺信安科技有限公司、北京奇虎科技有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。