Oracle JDeveloper ADF Faces 远程代码执行漏洞安全风险通告

admin 2022年6月24日18:46:27安全漏洞评论15 views1608字阅读5分21秒阅读模式
Oracle JDeveloper ADF Faces 远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到Oracle JDeveloper ADF Faces 远程代码执行漏洞(CVE-2022-21445) 的技术细节在互联网上公开,作者将其攻击利用统称为 "The Miracle Exploit"。未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。目前该漏洞细节已在互联网上公开,任何基于ADF Faces框架开发的程序都受此漏洞影响,包括如Oracle在线系统、Oracle云基础设施、Oracle融合中间件等在内的众多Oracle产品鉴于漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Oracle JDeveloper ADF Faces远程代码执行漏洞

公开时间

2022-04-19

更新时间

2022-06-24

CVE编号

CVE-2022-21445

其他编号

QVD-2022-5464

威胁类型

代码执行

技术类型

不可信数据的反序列化

厂商

Oracle

产品

Oracle JDeveloper

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

已公开

漏洞描述

Oracle JDeveloper ADF Faces中存在不安全的反序列化漏洞,未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。

影响版本

Oracle JDeveloper == 12.2.1.3.0

Oracle JDeveloper == 12.2.1.4.0

不受影响版本


其他受影响组件

Oracle Business Intelligence

Oracle Enterprise Manager

Oracle Identity Management

Oracle SOA Suite

Oracle WebCenter Portal

Oracle Application Testing Suite

Oracle Transportation Management

Oracle Access Manager

(任何基于ADF Faces 框架开发的程序均受此漏洞影响)



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



威胁评估

漏洞名称

Oracle JDeveloper ADF Faces远程代码执行漏洞

CVE编号

CVE-2022-21445

其他编号

QVD-2022-5464

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

用户认证(Au)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不改变

完整性影响(I)

可用性影响(A)

危害描述

Oracle JDeveloper ADF Faces中存在不安全的反序列化漏洞,未经身份认证的远程攻击者可利用反序列化漏洞实现任意代码执行,任何基于ADF Faces框架开发的程序都受此漏洞影响。



处置建议

目前官方已在Oracle 4月份关键安全补丁集合更新CPU(Critical Patch Update)中修复此漏洞,请及时更新。

详情可参见:
https://support.oracle.com/rs?type=doc&id=2853458.2



参考资料

[1]https://www.oracle.com/security-alerts/cpuapr2022.html

[2]https://peterjson.medium.com/miracle-one-vulnerability-to-rule-them-all-c3aed9edeea2



时间线

2022年6月24日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Oracle JDeveloper ADF Faces 远程代码执行漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月24日18:46:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Oracle JDeveloper ADF Faces 远程代码执行漏洞安全风险通告 http://cn-sec.com/archives/1141287.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: