漏洞通告│Oracle JDeveloper 远程代码漏洞;Apache Shiro权限绕过漏洞

席俊
2023-12-01

【漏洞通告】Oracle JDeveloper ADF Faces 远程代码执行漏洞

1、基础信息

CVE

CVE-2022-21445

等级

高危

类型

代码执行

2、漏洞详情

Oracle Fusion Middleware是一个全面的中间件产品系列,由甲骨文公司业界领先的SOA和中间件产品组成。

Oracle Fusion Middleware(组件:ADF Faces)的Oracle JDeveloper 12.2.1.3.0和12.2.1.4.0版本存在不安全的反序列化漏洞,未经身份认证的远程攻击者可利用该漏洞实现不可信数据的反序列化,可在受影响的服务器中执行任意代码。

3、影响范围

Oracle Oracle JDeveloper 12.2.1.4.0

Oracle Oracle JDeveloper 12.2.1.3.0

基于ADF Faces 框架开发的程序均可能受此漏洞影响,包括以下:

Oracle Business Intelligence

Oracle Enterprise Manager

Oracle Identity Management

Oracle SOA Suite

Oracle WebCenter Portal

Oracle Application Testing Suite

Oracle Transportation Management

Oracle Access Manager

4、安全建议

Oracle已在2022年4月补丁中修复此漏洞,受影响用户可及时下载更新。

5、参考链接

https://www.oracle.com/security-alerts/cpuapr2022.html


【漏洞通告】Apache Shiro RegExPatternMatcher 权限绕过漏洞

1、漏洞详情

CVE

CVE-2022-32532

等级

高危

类型

权限绕过

2、漏洞详情

2022年6月29日,Apache 官方披露 CVE-2022-32532 Apache Shiro 权限绕过漏洞。当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

3、影响范围

Apache Shiro < 1.9.1

4、安全建议

目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。http://github.com/apache/shiro/releases/tag/shiro-root-1.9.1。

5、参考链接

https://lists.apache.org/thread/y8260dw8vbm99oq7zv6y3mzn5ovk90xh       

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1

 类似资料: