项目

一般

简介

讨论区 » AAS-V10企业版 » AAS-V10企业版安全测评专区 »

0racle WebLogic Server 信息泄漏漏洞(CVE-2022-21371)

由 何 善才 在 超过一年 之前添加

0racle WebLogic Server 信息泄漏漏洞(CVE-2022-21371)
2. 1. 1.2.1漏洞概况
漏洞地址: http://ip:端口//WEB-INF/web.xml
漏洞参数:无
危害级别:高

漏洞描述
Oracle Fusion Middleware (组件: web Container) 的 Oracle WebLogic Server 产品中的缝隙。受影响的受支撑版别为 12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和
C 广州竞远安全技术股份有限公司
第 3 页,共53页
广州竞远安全技术股份有限公司
JYDB-10-23-V1
项目文件号: 202211012-001-11
14.1.1.0.0。易于使用的缝隙允许未经身份验证的攻击者经过 HTTP 进行网络拜访来损坏0racle WebLogic Server。成功攻击此缝隙可能导致对关键数据的未经授权的拜访或对所有 Oracle WebLogic Server 可拜访数据的彻底拜访

tomcat访问:直接返回 400

apusic访问:将文件读取了出来

修复更换jar包:将中间的包替换附录中的jar包

aas-web-core.jar

 

aas-web-core.jar (1.24 MB) aas-web-core.jar