严重
Oracle Fusion Middleware 安全漏洞
披露时间:
2024-10-16
更新时间:
2024-10-16
CT 编号
CT-1474428
CVE 编号
CVE-2024-21216
CNVD 编号
N/A
CNNVD 编号
CNNVD-202410-1425
原理分类
远程代码执行
漏洞评分
9.8
漏洞描述
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。 Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0版本和14.1.1.0.0版本存在安全漏洞。攻击者利用该漏洞可以接管Oracle WebLogic Server。
漏洞危害
攻击者成功利用该漏洞将会导致严重的安全后果。攻击者通过利用反序列化漏洞,可以在服务器上执行任意代码,从而获得服务器的进一步控制权。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。
修复方法
临时缓解方案
- 在确认不影响的业务的前提下可临时禁用T3/IIOP协议。
- 限制访问来源地址,如非必要,不要将系统开放在互联网上。
升级修复方案
Oracle官方已发布升级补丁包,可在Weblogic官网下载使用。
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2024-10-16
漏洞信息更新
2024-10-16
