Oracle警告可远程利用的Weblogic服务器存在严重缺陷

Oracle星期二发布了2021年7月的季度关键补丁更新，342个补丁跨越多个产品，其中一些可以被远程攻击者利用来控制受影响的系统。

其中最主要的是CVE-2019-2729，这是通过Oracle WebLogic Server Web服务中的XMLDecoder实现的一个关键反序列化漏洞，无需身份验证即可远程利用。值得注意的是，该漏洞最初是作为2019年6月带外安全更新的一部分解决的。

Oracle WebLogic Server是一种应用程序服务器，用作开发、部署和运行基于Java的企业应用程序的平台。

该漏洞在CVSS严重性等级中最多为10个，其等级为9.8，影响WebLogic Server 11.1.2.4和11.2.5.0版本，并存在于Oracle Hyperion基础设施技术中。

WebLogic Server中还修复了其他六个缺陷，其中三个缺陷的CVSS分数为9.8分（满分10分）—分；

• CVE-2021-2394（CVSS分数：9.8）
• CVE-2021-2397（CVSS分数：9.8）
• CVE-2021-2382（CVSS分数：9.8）
• CVE-2021-2378（CVSS分数：7.5）
• CVE-2021-2376（CVSS分数：7.5）
• CVE-2021-2403（CVSS分数：5.3）

这远远不是WebLogic Server中第一次发现关键问题。今年早些时候，Oracle在2021年4月补丁中修复了两个bug（CVE-2021-2135和CVE-2021-2136），其中有可能被滥用来执行任意代码。

建议Oracle客户迅速采取行动，应用更新并保护系统免受潜在的攻击。