1、漏洞概述

近日，WebRAY安全服务产品线监测到Oracle官方发布了2022年7月的关键安全补丁集合更新CPU（Critical Patch Update），修复了多个安全漏洞，漏洞编号包含但不限于：CVE-2022-21570、CVE-2022-21548、CVE-2021-23450、CVE-2022-23457、CVE-2022-22965。

其中CVE-2021-23450、CVE-2022-23457、CVE-2022-22965影响较为严重。由于漏洞危害较大，WebRAY安全服务产品线建议广大用户及时安装本次的关键安全补丁，做好预防工作，以免遭受攻击。WebRAY安全服务产品线也将持续关注漏洞进展，并及时为您更新漏洞信息。

部分漏洞详细介绍：

Spring Framework远程代码执行漏洞

CVE-2022-22965：由于引入的第三方框架Spring Framework，导致攻击者可以在JDK 9 及以上版本的环境中通过发送精心构造的请求，造成远程代码执行从而成功接管Oracle WebLogic Server服务。

Dojo原型污染漏洞

CVE-2021-23450：该漏洞允许未经身份验证的攻击者通过HTTP访问服务器，由于引用的第三方工具Dojo导致成功利用此漏洞可以接管Oracle WebLogic Server服务。

OWASP ESAPI路径遍历漏洞

CVE-2022-23457：该漏洞由于引入的第三方产品OWASP Enterprise Security API，导致未经身份验证的攻击者可以通过 HTTP 访问并攻击Oracle WebLogic Server，成功利用此漏洞即可接管Oracle WebLogic Server服务。

2、影响范围

3、漏洞等级

WebRAY安全服务产品线风险评级：高危

4、修复建议

官方已发布安全版本，请及时下载更新。

https://www.oracle.com/security-alerts/cpujul2022.html

关于盛邦安全

盛邦安全成立于2010年，在网络空间地图、业务安全、供应链安全、应用防御和脆弱性检测等领域已成为国内领先的网络安全产品及服务供应商。

【烽火狼烟】Oracle多个安全漏洞风险提示