【漏洞预警】Oracle Commerce输入验证错误漏洞(CVE-2022-21387)

admin 2022年4月6日03:21:21安全漏洞评论52 views858字阅读2分51秒阅读模式

 01


漏洞描述





甲骨文公司(Oracle),全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。
1989年正式进入中国市场。2013年,甲骨文已超越 IBM ,成为继 Microsoft 后全球第二大软件公司。
Oracle Commerce是美国甲骨文(Oracle)公司的一套电子商务解决方案。Commerce Platform是其中的一个提供多功能的电子商务平台组件。Oracle Commerce 的 Oracle Commerce Platform 产品中存在安全漏洞,该漏洞允许未经身份验证的攻击者通过HTTP进行网络访问,从而破坏 Oracle Commerce Platform。攻击者可利用该漏洞导致对Oracle Commerce Platform可访问数据的子集进行未经授权的读取访问。

 02

漏洞危害



Oracle Commerce
Oracle Commerce Platform 产品中的漏洞(组件:Dynamo Application Framework)。受影响的受支持版本是 11.3.011.3.1 11.3.2易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Commerce Platform成功攻击此漏洞可能导致对 OracleCommerce Platform 可访问数据的子集进行未经授权的读取访问。

 03

影响范围






Oracle CommercePlatform 11.3.1
Oracle Commerce Platform 11.3.2
Oracle Commerce Platform 11.3.0

04

漏洞等级

   

   中危


 05

修复方案


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujan2022.html















END

长按识别二维码,了解更多


【漏洞预警】Oracle Commerce输入验证错误漏洞(CVE-2022-21387)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Oracle Commerce输入验证错误漏洞(CVE-2022-21387)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日03:21:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Oracle Commerce输入验证错误漏洞(CVE-2022-21387) http://cn-sec.com/archives/865671.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: