Oracle HTTP Server2026 年 1 月 CPU

medium Nessus 插件 ID 296604

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 HTTP 服务器版本受到 2026 年 1 月 CPU 公告中提及的多个漏洞的影响。

- Oracle Fusion Middleware 的 Oracle HTTP Server、Oracle Weblogic Server Proxy Plug-in 产品组件Weblogic Server Proxy Plug-in for Apache HTTP Server、Weblogic Server Proxy Plug-in for IIS中存在漏洞。支持的版本中受影响的是 12.2.1.4.0、14.1.1.0.0 和 14.1.2.0.0。可轻松利用的漏洞允许具有网络访问权限的未经身份验证的攻击者通过 HTTP 破坏 Oracle HTTP Server、Oracle Weblogic Server Proxy Plug-in。虽然漏洞存在于 Oracle HTTP Server、Oracle Weblogic Server Proxy Plug-in 中但攻击也可能会严重影响其他产品范围变更。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改访问重要数据或所有 Oracle HTTP Server、Oracle Weblogic Server Proxy Plug-in 可访问数据以及未经授权访问所有 Oracle HTTP Server 的关键数据或完整访问权限Oracle Weblogic Server Proxy Plug-in 可访问数据。注意：受影响的 Weblogic Server Proxy Plug-in for IIS 版本仅为 12.2.1.4.0 。
(CVE-2026-21962)

- Oracle Fusion Middleware 的 Oracle HTTP Server 产品中的漏洞组件Core (libxml2)。
支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle HTTP Server。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle HTTP Server 可访问数据的访问权限并在未经授权的情况下造成 Oracle HTTP Server 挂起或频繁而重复的崩溃完整 DOS。CVE-2025-49794、 CVE-2025-49795、 CVE-2025-49796

- Oracle Fusion Middleware 的 Oracle HTTP Server 产品中的漏洞（组件：Core (LibExpat)）。
支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle HTTP Server。如果攻击成功，攻击者可在未经授权的情况下造成 Oracle HTTP Server 挂起或频繁崩溃（完全 DOS）。(CVE-2025-59375)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。