2021年4月21日,Oracle官方发布了2021年4月份的安全更新,国家信息安全漏洞库(CNNVD)对其进行了收录。其中包含了9个与WebLogic相关的重要漏洞,攻击者可利用漏洞在未授权的情况下发送攻击数据,实现远程代码执行,最终控制WebLogic服务器。Oracle WebLogic Server12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0等多个版本均受漏洞影响。目前, Oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

Oracle WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

Oracle官方发布了2021年4月份的安全更新,其中包含了9个与WebLogic相关的重要漏洞,具体如下:

序号

漏洞名称

CNNVD编号

CVE编号

1

Oracle Fusion Middleware安全漏洞

CNNVD-202104-1365

CVE-2021-2214

2

Oracle WebLogic Server安全漏洞

CNNVD-202104-1391

CVE-2021-2294

3

Oracle Fusion Middleware安全漏洞

CNNVD-202104-1420

CVE-2021-2204

4

Oracle Fusion Middleware安全漏洞

CNNVD-202104-1449

CVE-2021-2142

5

Oracle Fusion Middleware安全漏洞

CNNVD-202104-1463

CVE-2021-2135

6

Oracle Fusion Middleware安全漏洞

CNNVD-202104-1474

CVE-2021-2157

7

Oracle Coherence安全漏洞

CNNVD-202104-1493

CVE-2021-2277

8

Oracle WebLogic Server安全漏洞

CNNVD-202104-1497

CVE-2021-2211

9

Oracle WebLogic Server安全漏洞

CNNVD-202104-1565

CVE-2021-2136

二、危害影响

攻击者可利用漏洞在未授权的情况下发送攻击数据,实现远程代码执行,最终控制WebLogic服务器。Oracle WebLogic 12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0等多个版本均受漏洞影响。具体影响范围可访问Oracle官方网站进行查询,官方链接如下:

https://www.oracle.com/security-alerts/cpuapr2021.html

三、修复建议

目前, Oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。Oracle官方更新链接如下:

https://www.oracle.com/security-alerts/cpuapr2021.html

本通报由CNNVD技术支撑单位——深信服科技股份有限公司、网神信息技术(北京)股份有限公司、北京华顺信安科技有限公司、北京奇虎科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。