Oracle WebLogic Server 多个漏洞（2019 年 4 月 CPU）

critical Nessus 插件 ID 124122

语言：

简介

远程主机上安装的应用程序服务器受到多个漏洞的影响。

描述

远程主机上安装的 Oracle WebLogic 服务器版本受到多个漏洞的影响：- Spring Framework 中有一个不明漏洞，允许具有网络访问权限的低权限远程攻击者通过 HTTP 危害和接管 Oracle Communications Unified Inventory Management。(CVE-2018-1258) - WLS Core 组件中有一个不明漏洞，允许具有网络访问权限的经验证的低权限攻击者通过 HTTP 危害 Oracle WebLogic Server，导致未经授权的更新、插入或删除对 Oracle WebLogic Server 可访问数据的访问。(CVE-2019-2568) - WLS Core 组件中有一个不明漏洞，允许具有网络访问权限的经验证的高权限攻击者通过 HTTP 危害 Oracle WebLogic Server，导致关键数据的未授权访问或所有 Oracle WebLogic 服务器可访问数据的完全访问。(CVE-2019-2615) - WLS Core 组件中有一个不明漏洞，允许具有网络访问权限的经验证的高权限攻击者通过 HTTP 危害 Oracle WebLogic Server，导致在未经授权的情况下访问重要数据，或是完整访问所有 Oracle WebLogic Server 可访问数据，以及未经授权便更新、插入或删除对部分 Oracle WebLogic Server 可访问数据的访问。(CVE-2019-2618) - WLS Core 组件中有一个不明漏洞，允许具有网络访问权限的未经验证的远程攻击者通过 T3 危害并接管 Oracle WebLogic Server。(CVE-2019-2645) - EJB Container 中有一个不明漏洞，允许具有网络访问权限的未经验证的远程攻击者通过 T3 危害并接管 Oracle WebLogic Server。(CVE-2019-2646) - WLS - Web Services 中有一个不明漏洞，允许具有网络访问权限的经验证的高权限攻击者通过 HTTP 危害 Oracle WebLogic Server，导致关键数据的未授权访问或所有 Oracle WebLogic 服务器可访问数据的完全访问。(CVE-2019-2647) (CVE-2019-2648) (CVE-2019-2649) (CVE-2019-2650) - WLS Core 组件中有一个不明漏洞，允许具有网络访问权限的经验证的低权限攻击者通过 HTTP 危害 Oracle WebLogic Server，导致未经授权的更新、插入或删除对 Oracle WebLogic Server 可访问数据的访问。(CVE-2019-2658)