Oracle产品多个漏洞通告

【发布时间：2023-09-18】

新华三盾山实验室

2023/07/19

1. 漏洞综述

1.1 漏洞背景

Oracle公司（甲骨文）是全球最大的信息管理软件及服务供应商，其中Weblogic是由Oracle公司开发的一款基于JAVAEE架构的中间件，主要用于大型分布式Web应用的开发、部署及管理，在国内外应用十分广泛。近日，新华三盾山实验室监测到Oracle官方发布了2023年7月份关键补丁更新公告，修复了存在于Oracle中的多个漏洞，其中主要包括：CVE-2023-26119、CVE-2023-1436、CVE-2023-22040、CVE-2023-22053、CVE-2023-22031、CVE-2023-22053、CVE-2023-22007等。大部分为第三组件漏洞，其中Oracle WebLogic Server安全特性绕过漏洞(CVE-2023-22040)影响相对较大，攻击者利用这些漏洞可造成关键数据的创建、删除或修改或拒绝服务等。

1.2 漏洞详情

1、 CVE-2023-22040 Oracle WebLogic Server安全特性绕过漏洞

Oracle WebLogic Server 中存在安全特性绕过漏洞，具有高权限的恶意攻击者成功利用此漏洞可对关键数据或所有可访问的Oracle WebLogic Server数据的创建、删除或修改，同时可能造成拒绝服务（Dos）。

严重等级：中危评分：6.5

2. 影响范围

CVE编号	受影响产品
CVE-2023-22040	Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0
CVE-2023-22031	Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0
CVE-2023-22053	Oracle MySQL Server <= 5.7.42 Oracle MySQL Server <= 8.0.33
CVE-2023-22008	Oracle MySQL Server <= 8.0.33
CVE-2023-22046	Oracle MySQL Server <= 8.0.33
CVE-2023-22054	Oracle MySQL Server <= 8.0.33
CVE-2023-22056	Oracle MySQL Server <= 8.0.33
CVE-2023-21950	Oracle MySQL Server <= 8.0.27
CVE-2023-22007	Oracle MySQL Server <= 5.7.41 Oracle MySQL Server <= 8.0.32
CVE-2023-22057	Oracle MySQL Server <= 8.0.33
CVE-2023-22033	Oracle MySQL Server <= 8.0.33
CVE-2023-22058	Oracle MySQL Server <= 8.0.33
CVE-2023-22005	Oracle MySQL Server <= 8.0.33