Oracle JDeveloper ADF Faces 远程代码执行漏洞风险提示(CVE-2022-21445)

admin 2022年6月27日08:00:30安全漏洞评论18 views1094字阅读3分38秒阅读模式
Oracle JDeveloper ADF Faces 远程代码执行漏洞风险提示(CVE-2022-21445)


漏洞公告

近日,安恒信息CERT监测到Oracle JDeveloper ADF Faces 存在远程代码执行漏洞(CVE-2022-21445),该漏洞允许未经身份验证的远程攻击者通过构造恶意的反序列化利用链,实现反序列化攻击,最终在目标服务器上执行任意代码。目前该漏洞的漏洞利用细节已公开,官方已在2022年4月补丁中修复此漏洞,建议受影响的用户下载相关补丁进行修复。


参考链接:

https://www.oracle.com/security-alerts/cpuapr2022.html



影响范围


受影响组件版本:

Oracle JDeveloper 12.2.1.4.0

Oracle JDeveloper 12.2.1.3.0


基于 Oracle ADF Faces 框架开发的程序均可能受此漏洞影响,包括以下:

Oracle Business Intelligence

Oracle Enterprise Manager

Oracle Identity Management

Oracle SOA Suite

Oracle WebCenter Portal

Oracle Application Testing Suite

Oracle Transportation Management

Oracle Access Manager



漏洞描述


Oracle ADF Faces 是一套完整的框架,包含 150 多个支持 Ajax 的 Java Server Faces (JSF) 组件,所有组件均基于JSF2.0标准构建。其中,Oracle ADF Faces框架大多数功能可以使用 Oracle JDeveloper以声明的方式实现,这是一个功能丰富的开发环境,内置对ADF Faces组件的支持,可以快速轻松地构建Web 应用程序的显示层。

Oracle JDeveloper ADF Faces存在一个远程代码执行漏洞,未经身份验证的攻击者可以利用该漏洞,构建恶意的反序列化利用链并提交给目标服务器,实现反序列化攻击,进而在目标服务器上执行任意代码。

细节是否公开 POC状态 EXP状态 在野利用
公开 未公开 未知






缓解措施


高危:目前漏洞细节已公开,官方已发布相关安全补丁,建议部署相关产品的用户及时测试并应用补丁。


官方建议:

1、目前官方已在2022年4月补丁中修复此漏洞,建议受影响的用户下载相关补丁进行修复。

下载链接:

https://www.oracle.com/security-alerts/cpuapr2022.html



安恒信息CERT

2022年6月

原文始发于微信公众号(安恒信息CERT):Oracle JDeveloper ADF Faces 远程代码执行漏洞风险提示(CVE-2022-21445)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日08:00:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Oracle JDeveloper ADF Faces 远程代码执行漏洞风险提示(CVE-2022-21445) http://cn-sec.com/archives/1142308.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: