Oracle JDeveloper ADF Faces 远程代码执行漏洞 (CVE-2022-21445)

admin 2022年6月25日00:50:07安全漏洞评论25 views928字阅读3分5秒阅读模式
Oracle JDeveloper ADF Faces 远程代码执行漏洞 (CVE-2022-21445)


0x01 MoOracle JDeveloper

MoOracle JDeveloper 是一个免费的非开源的集成开发环境,通过支持完整的开发生命周期简化了基于 Java的 SOA应用程序和用户界面的开发。

Oracle JDeveloper ADF Faces 远程代码执行漏洞 (CVE-2022-21445)


0x02 漏洞描述

近日,Oracle JDeveloper ADF Faces 远程代码执行漏洞,漏洞编号:CVE-2022-21445 的技术细节在互联网上公开,漏洞风险等级:高。未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。目前该漏洞细节已在互联网上公开,任何基于ADF Faces框架开发的程序都受此漏洞影响,包括如Oracle在线系统、Oracle云基础设施、Oracle融合中间件等在内的众多Oracle产品。漏洞影响范围较大,建议客户尽快做好自查及防护。


受影响版本:

  • Oracle JDeveloper == 12.2.1.3.0

  • Oracle JDeveloper == 12.2.1.4.0

其他受影响组件:

  • Oracle Business Intelligence

  • Oracle Enterprise Manager

  • Oracle Identity Management

  • Oracle SOA Suite

  • Oracle WebCenter Portal

  • Oracle Application Testing Suite

  • Oracle Transportation Management

  • Oracle Access Manager

  • 任何基于ADF Faces 框架开发的程序均受此漏洞影响


0x03 漏洞信息

漏洞编号:CVE-2022-21445

漏洞POC:暂无

漏洞EXP:暂无

漏洞危害:高危 远程代码执行


0x04 解决方案

临时修复建议:

如果目前无法升级,若业务环境允许,使用白名单限制相关端口的访问来降低风险


通用修复建议:

目前官方已在Oracle 4月份关键安全补丁集合更新CPU(Critical Patch Update)中修复此漏洞,请及时更新。详情可见:

https://support.oracle.com/rs?type=doc&id=2853458.2


原文始发于微信公众号(寻云安全团队):Oracle JDeveloper ADF Faces 远程代码执行漏洞 (CVE-2022-21445)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月25日00:50:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Oracle JDeveloper ADF Faces 远程代码执行漏洞 (CVE-2022-21445) http://cn-sec.com/archives/1142269.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: