Oracle于美国时间2021年10月19日发布了Oracle多款产品的季度累积补丁集,其中涉及Oracle WebLogic中间件的漏洞共9个,其中2个(基础分值为9.8分)为高危漏洞。
随着漏洞公告的正式发布,Oracle官方也为MOS授权用户提供了相关产品的补丁下载(包括服务延展补丁)。此外,Oracle JDK的两个主流版本的小版本号已经分别升级到了1.7.0_321、1.8.0_311。针对FMW 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0三个版本的OPatch已经由13.9.4.2.6版本升级到了13.9.4.2.7版本。
CVE-ID | 产品 | 组件 | 协议 | 远程利用 无需授权 | 基础分值 | 攻击媒介 | 攻击复杂度 | 用户交互 | 可用性 | 受影响版本 (Oracle仍提供技术支持的) |
CVE-2018-8088 | Oracle WebLogic Server | Web Services (slf4j-ext) | HTTP | Yes | 9.8 | Network | Low | None | High | 12.1.3.0.0 |
CVE-2021-35617 | Oracle WebLogic Server | Coherence Container | IIOP | Yes | 9.8 | Network | Low | None | High | 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-7226 | Oracle WebLogic Server | Core (Cryptacular) | SAML | Yes | 7.5 | Network | Low | None | High | 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-35620 | Oracle WebLogic Server | Core | T3 | Yes | 7.5 | Network | Low | None | High | 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-11022 | Oracle WebLogic Server | Web Services (jQuery) | HTTP | Yes | 6.1 | Network | Low | Required | None | 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2018-10237 | Oracle WebLogic Server | Web Services (Google Guava) | HTTP | Yes | 5.9 | Network | High | None | High | 12.1.3.0.0 |
CVE-2019-12400 | Oracle WebLogic Server | Web Services (Apache Santuario XML Security For Java) | None | No | 5.5 | Local | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-29425 | Oracle WebLogic Server | Console (Apache Commons IO) | HTTP | Yes | 5.3 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-35552 | Oracle WebLogic Server | Diagnostics | HTTP | Yes | 5.3 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |