漏洞公告
近日,安恒信息CERT监测到Oracle JDeveloper ADF Faces 存在远程代码执行漏洞(CVE-2022-21445),该漏洞允许未经身份验证的远程攻击者通过构造恶意的反序列化利用链,实现反序列化攻击,最终在目标服务器上执行任意代码。目前该漏洞的漏洞利用细节已公开,官方已在2022年4月补丁中修复此漏洞,建议受影响的用户下载相关补丁进行修复。
参考链接:
https://www.oracle.com/security-alerts/cpuapr2022.html
一
影响范围
受影响组件版本:
Oracle JDeveloper 12.2.1.4.0
Oracle JDeveloper 12.2.1.3.0
基于 Oracle ADF Faces 框架开发的程序均可能受此漏洞影响,包括以下:
Oracle Business Intelligence
Oracle Enterprise Manager
Oracle Identity Management
Oracle SOA Suite
Oracle WebCenter Portal
Oracle Application Testing Suite
Oracle Transportation Management
Oracle Access Manager
二
漏洞描述
Oracle ADF Faces 是一套完整的框架,包含 150 多个支持 Ajax 的 Java Server Faces (JSF) 组件,所有组件均基于JSF2.0标准构建。其中,Oracle ADF Faces框架大多数功能可以使用 Oracle JDeveloper以声明的方式实现,这是一个功能丰富的开发环境,内置对ADF Faces组件的支持,可以快速轻松地构建Web 应用程序的显示层。
Oracle JDeveloper ADF Faces存在一个远程代码执行漏洞,未经身份验证的攻击者可以利用该漏洞,构建恶意的反序列化利用链并提交给目标服务器,实现反序列化攻击,进而在目标服务器上执行任意代码。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 未公开 | 未公开 | 未知 |
三
缓解措施
高危:目前漏洞细节已公开,官方已发布相关安全补丁,建议部署相关产品的用户及时测试并应用补丁。
官方建议:
1、目前官方已在2022年4月补丁中修复此漏洞,建议受影响的用户下载相关补丁进行修复。
下载链接:
https://www.oracle.com/security-alerts/cpuapr2022.html
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Oracle JDeveloper ADF Faces 远程代码执行漏洞风险提示(CVE-2022-21445)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论