【漏洞预警】Oracle Java SE输入验证错误漏洞(CVE-2022-21449)

admin 2022年4月28日09:53:52评论297 views字数 876阅读2分55秒阅读模式

 01


漏洞描述





Oracle Java SE是美国甲骨文(Oracle)公司的一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。
Oracle Java SE存在输入验证错误漏洞,攻击者可利用该漏洞导致对关键数据或所有Oracle JavaSE、Oracle GraalVM Enterprise Edition可访问数据的未经授权的创建、删除或修改访问。


 02

漏洞危害


Oracle Java SE 中的漏洞,Oracle Java SE的 Oracle GraalVM 企业版产品(组件:Libraries)。受影响的受支持版本是 Oracle Java SE:17.0.2 和 18;Oracle GraalVM 企业版21.3.1 和 22.0.0.2。易于利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 Oracle Java SE、Oracle GraalVM 企业版。成功攻击此漏洞可能导致对关键数据或所有 Oracle Java SE、Oracle GraalVM 企业版可访问数据的未经授权的创建、删除或修改访问。注意:此漏洞适用于 Java 部署,通常在运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的客户端中加载和运行不受信任的代码(例如,来自 Internet 的代码)并依赖 Java 沙箱来确保安全。也可以通过使用指定组件中的 API 来利用此漏洞,例如,通过向 API 提供数据的 Web 服务。

 03

影响范围





Oracle GraalVM Enterprise Edition 21.3.1
Oracle GraalVM Enterprise Edition 22.0.0.2
Oracle Java SE 18
Oracle Java SE 17.0.2


04

漏洞等级

   

高危

 06

修复方案

厂商已发布了漏洞修复程序,请及时关注更新:
https://www.oracle.com/security-alerts/cpuapr2022.html














END

长按识别二维码,了解更多


【漏洞预警】Oracle Java SE输入验证错误漏洞(CVE-2022-21449)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Oracle Java SE输入验证错误漏洞(CVE-2022-21449)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月28日09:53:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Oracle Java SE输入验证错误漏洞(CVE-2022-21449)http://cn-sec.com/archives/952994.html

发表评论

匿名网友 填写信息