Oracle WebLogic Server（2022 年 4 月 CPU）

critical Nessus 插件 ID 160036

语言：

简介

远程主机上安装的应用程序服务器受到多个漏洞影响

描述

远程主机上安装的 Oracle WebLogic Server 版本缺少 2020 年 4 月关键补丁更新 (CPU) 的安全补丁。因此，该应用程序受到多个漏洞的影响：

- 捆绑的 Guava 组件中存在临时目录创建漏洞，该漏洞允许低权限攻击者登录执行 Oracle WebLogic Server 的基础架构，以获取对 Oracle WebLogic Server 可访问的一部分数据的读取访问权限。 (CVE-2020-8908)

- 捆绑的 JBoss Enterprise Application Platform 中存在输入验证不当缺陷，该漏洞允许允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而更新、插入或删除 Oracle WebLogic Server 可访问的一部分数据。（CVE-2021-28170）

- 捆绑的 JQuery 组件中存在跨站脚本漏洞，该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，并与其他用户进行人工交互，从而更新、插入、删除和读取 Oracle WebLogic Server 可访问的一部分数据。（CVE-2021-41184）

- Oracle WebLogic Server 的核心组件中存在拒绝服务漏洞，该漏洞允许未经身份验证的攻击者通过 T3/IIOP 进行网络访问，从而造成 Oracle WebLogic Server 挂起或频繁反复崩溃。 (CVE-2022-21441)

- Oracle WebLogic Server 的控制台组件中存在一个漏洞，该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，并与其他用户进行人工交互，从而更新、插入、删除和读取 Oracle WebLogic Server 可访问的一部分数据。（CVE-2022-21453）

- 捆绑的 Log4J 组件中存在 SQL 注入漏洞，该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而在 Oracle WebLogic Server 上执行任意代码。（CVE-2022-23305）

- 捆绑的 Apache Xerces Java 组件中存在 XML 注入漏洞，该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，并与其他用户进行人工交互，从而造成 Oracle WebLogic Server 挂起或频繁反复崩溃。（CVE-2022-23437）

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。