【漏洞通告】Oracle 7月多个安全漏洞-启明星辰

首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Oracle 7月多个安全漏洞

发布时间 2021-07-21

0x00 漏洞概述

2021年7月20日，Oracle发布了7月份的安全更新，本次发布的安全更新共计342个，涉及Oracle Communications Applications 、Oracle E-Business Suite、Oracle Enterprise Manager和Oracle Fusion Middleware等多个产品和组件。

0x01 漏洞详情

Oracle Fusion Middleware多个安全漏洞

Oracle此次共发布了48个适用于Oracle Fusion Middleware的安全更新，其中有 35个漏洞无需经过身份验证即可远程利用。其中包括多个WebLogic Server安全漏洞，未经身份验证的攻击者可以通过IIOP或T3协议发送恶意请求来利用这些漏洞，从而在Oracle WebLogic Server执行代码或控制服务器。严重漏洞包括CVE-2021-2394、CVE-2021-2397和CVE-2021-2382，它们的CVSS评分均为9.8。

Oracle Communications Applications多个安全漏洞

Oracle此次共发布了33 个适用于 Oracle Communications Applications 的安全更新，其中有 22 个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-21345、CVE-2020-11612、CVE-2021-3177、CVE-2020-17530和CVE-2019-17195，攻击者可以通过HTTP协议发送恶意请求来利用这些漏洞。

Oracle E-Business Suite多个安全漏洞

Oracle此次共发布了17 个适用于Oracle E-Business Suite 的安全更新，其中有3个漏洞无需经过身份验证即可远程利用。其中一个评级为严重的漏洞为CVE-2021-2355（CVSS评分为9.1），该漏洞的利用复杂度低，且无需用户交互。此外，Oracle还修复了包括CVE-2021-2436、CVE-2021-2359和CVE-2021-2361在内的15个高危漏洞。

Oracle Enterprise Manager多个安全漏洞

Oracle此次共发布了8 个适用于Oracle Enterprise Manager的安全更新，这些漏洞都可以在未经过身份验证的情况下远程利用。其中一个评级为严重的漏洞为CVE-2020-10683（CVSS评分为9.8），该漏洞的利用复杂度低，且无需用户交互。此外，Oracle还修复了包括CVE-2019-5064在内的其它7个安全漏洞。

Oracle Financial Services Applications多个安全漏洞

Oracle此次共发布了22个适用于Oracle Financial Services Applications的安全更新，其中有 17个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-21345、CVE-2019-0228、CVE-2021-26117、CVE-2020-5413、CVE-2020-11998和CVE-2020-27218，攻击者可以通过HTTP协议发送恶意请求来利用这些漏洞。