WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
360漏洞云监测到Oracle官方发布了2021年7月的关键补丁程序更新CPU(Critical Patch Update),其中包含对多个WebLogic漏洞的修复。这些漏洞允许未经身份验证的攻击者通过IIOP、T3或HTTP协议发送特殊构造的恶意请求,从而在Oracle WebLogic Server执行代码或窃取关键数据。
CVE-2021-2394
产品: Oracle WebLogic Server
组件: Core
协议: T3, IIOP
远程利用: 是
CVSS评分:9.8
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2397
产品: Oracle WebLogic Server
组件: Core
协议: T3, IIOP
远程利用: 是
CVSS评分:9.8
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2382
产品: Oracle WebLogic Server
组件: Security
协议: T3, IIOP
远程利用: 是
CVSS评分:9.8
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2378
产品: Oracle WebLogic Server
组件: Core
协议: T3, IIOP
远程利用: 是
CVSS评分:7.5
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2021-2376
产品: Oracle WebLogic Server
组件: Web Services
协议: T3, IIOP
远程利用: 是
CVSS评分:7.5
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
CVE-2015-0254
产品: Oracle WebLogic Server
组件: Third Party Tools (Apache Standard Taglibs)
协议: HTTP
远程利用: 是
CVSS评分:7.3
影响版本:10.3.6.0.0, 12.1.3.0.0
CVE-2021-2403
产品: Oracle WebLogic Server
组件: Core
协议: HTTP
远程利用: 是
CVSS评分:5.3
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
严重
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
WebLogic Server 14.1.1.0.0
厂商已发布补丁修复漏洞,用户请尽快下载安装:
https://www.oracle.com/security-alerts/cpujul2021.html
建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。
