阿里云漏洞库

漏洞描述

Oracle融合中间件OracleWeb逻辑服务器组件中的漏洞(子组件：WLS-Web服务). 受影响的支持版本为12.1.3.0和12.2.1.3。容易开发的漏洞允许未经身份验证的攻击者通过HTTP访问网络，以损害OracleWeb逻辑服务器。此漏洞的成功攻击可能导致未经授权访问关键数据或完全访问所有OracleWeb逻辑服务器可访问的数据。 CVSS3.0基础评分7.5（保密影响）. CVSS矢量：(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)。

解决建议

升级Oracle官方补丁。

参考链接
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.securityfocus.com/bid/105628
http://www.securitytracker.com/id/1041896
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	banking_platform	2.6.0	-
	运行在以下环境
	应用	oracle	banking_platform	2.6.1	-
	运行在以下环境
	应用	oracle	banking_platform	2.6.2	-
	运行在以下环境
	应用	oracle	business_process_management_suite	11.1.1.9.0	-
	运行在以下环境
	应用	oracle	business_process_management_suite	12.1.3.0.0	-
	运行在以下环境
	应用	oracle	business_process_management_suite	12.2.1.3.0	-
	运行在以下环境
	应用	oracle	communications_converged_application_server	*		Up to (excluding) 7.0.0.1
	运行在以下环境
	应用	oracle	communications_webrtc_session_controller	*		Up to (excluding) 7.2
	运行在以下环境
	应用	oracle	enterprise_repository	12.1.3.0.0	-
	运行在以下环境
	应用	oracle	retail_convenience_and_fuel_pos_software	2.8.1	-
	运行在以下环境
	应用	oracle	utilities_network_management_system	1.12.0.3	-
	运行在以下环境
	应用	oracle	utilities_network_management_system	2.3.0.0	-
	运行在以下环境
	应用	oracle	utilities_network_management_system	2.3.0.1	-
	运行在以下环境
	应用	oracle	utilities_network_management_system	2.3.0.2	-
	运行在以下环境
	应用	oracle	webcenter_portal	11.1.1.9.0	-
	运行在以下环境
	应用	oracle	webcenter_portal	12.2.1.3.0	-
	运行在以下环境
	应用	oracle	weblogic_server	12.1.3.0.0	-
	运行在以下环境
	应用	oracle	weblogic_server	12.2.1.3	-
	运行在以下环境
	应用	oracle	weblogic_server	12.2.1.3.0	-

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

10000

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 Oracle Weblogic Server 信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况