Oracle 警告可远程利用的 Weblogic 服务器严重缺陷

甲骨文周二发布了2021 年 7 月的季度重要补丁更新，其中包含 342 个跨越多个产品的修复程序，其中一些可能被远程攻击者利用来控制受影响的系统。

其中最主要的是CVE-2019-2729，这是一个通过 Oracle WebLogic Server Web 服务中的 XMLDecoder 实现的严重反序列化漏洞，无需身份验证即可远程利用。值得注意的是，该漏洞最初是在 2019 年 6 月作为带外安全更新的一部分得到解决的。

Oracle WebLogic Server 是一个应用服务器，用作开发、部署和运行企业基于 Java 的应用程序的平台。

该漏洞在 CVSS 严重性等级中被评为 9.8 分（满分 10 分），影响 WebLogic Server 版本 11.1.2.4 和 11.2.5.0，并存在于 Oracle Hyperion Infrastructure Technology 中。

WebLogic Server 中还修复了其他六个缺陷，其中三个的 CVSS 得分为 9.8（满分 10）——

• CVE-2021-2394（CVSS 评分：9.8）
• CVE-2021-2397（CVSS 评分：9.8）
• CVE-2021-2382（CVSS 评分：9.8）
• CVE-2021-2378（CVSS 评分：7.5）
• CVE-2021-2376（CVSS 评分：7.5）
• CVE-2021-2403（CVSS 评分：5.3）

这远不是第一次在 WebLogic Server 中发现关键问题。今年早些时候，Oracle 发布了2021 年 4 月的补丁，其中修复了两个错误（CVE-2021-2135 和 CVE-2021-2136），其中包括可能被滥用来执行任意代码的错误。

建议 Oracle 客户迅速采取行动以应用更新并保护系统免受潜在攻击。