Oracle JDeveloper ADF Faces 远程代码执行漏洞 （CVE-2022-21445）

MoOracle JDeveloper 是一个免费的非开源的集成开发环境，通过支持完整的开发生命周期简化了基于 Java的 SOA应用程序和用户界面的开发。

近日，Oracle JDeveloper ADF Faces 远程代码执行漏洞，漏洞编号：CVE-2022-21445 的技术细节在互联网上公开，漏洞风险等级：高。未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化，可在受影响的服务器中执行任意代码。目前该漏洞细节已在互联网上公开，任何基于ADF Faces框架开发的程序都受此漏洞影响，包括如Oracle在线系统、Oracle云基础设施、Oracle融合中间件等在内的众多Oracle产品。漏洞影响范围较大，建议客户尽快做好自查及防护。

受影响版本：

• Oracle JDeveloper == 12.2.1.3.0

• Oracle JDeveloper == 12.2.1.4.0

其他受影响组件：

• Oracle Business Intelligence

• Oracle Enterprise Manager

• Oracle Identity Management

• Oracle SOA Suite

• Oracle WebCenter Portal

• Oracle Application Testing Suite

• Oracle Transportation Management

• Oracle Access Manager

• 任何基于ADF Faces 框架开发的程序均受此漏洞影响

漏洞编号：CVE-2022-21445

漏洞POC：暂无

漏洞EXP：暂无

漏洞危害：高危 远程代码执行

临时修复建议：

如果目前无法升级，若业务环境允许，使用白名单限制相关端口的访问来降低风险

通用修复建议：

目前官方已在Oracle 4月份关键安全补丁集合更新CPU（Critical Patch Update）中修复此漏洞，请及时更新。详情可见：

https://support.oracle.com/rs?type=doc&id=2853458.2