01
漏洞描述
甲骨文公司(Oracle),全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。1989年正式进入中国市场。2013年,甲骨文已超越 IBM ,成为继 Microsoft 后全球第二大软件公司。
Oracle Commerce是美国甲骨文(Oracle)公司的一套电子商务解决方案。Commerce Platform是其中的一个提供多功能的电子商务平台组件。Oracle Commerce 的 Oracle Commerce Platform 产品中存在安全漏洞,该漏洞允许未经身份验证的攻击者通过HTTP进行网络访问,从而破坏 Oracle Commerce Platform。攻击者可利用该漏洞导致对Oracle Commerce Platform可访问数据的子集进行未经授权的读取访问。
02
漏洞危害
Oracle Commerce 的 Oracle Commerce Platform 产品中的漏洞(组件:Dynamo Application Framework)。受影响的受支持版本是 11.3.0、11.3.1 和 11.3.2。易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Commerce Platform。成功攻击此漏洞可能导致对 OracleCommerce Platform 可访问数据的子集进行未经授权的读取访问。
03
影响范围
Oracle CommercePlatform 11.3.1
Oracle Commerce Platform 11.3.2
Oracle Commerce Platform 11.3.0
04
漏洞等级
中危
05
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujan2022.html
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Oracle Commerce输入验证错误漏洞(CVE-2022-21387)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论