近日，我司监测到Oracle官方发布了2022年7月的关键补丁程序更新CPU（Critical Patch Update），修复了Oracle多个产品的安全漏洞。

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

其中以下漏洞值得关注：

1. CVE-2022-22965 Spring Framework 远程代码执行漏洞

漏洞类型：远程代码执行

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方框架Spring Framework，在 JDK 9 及以上版本环境下，远程攻击者可利用该漏洞写入恶意代码，实现远程代码执行，成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

2. CVE-2021-23450 Dojo 原型污染漏洞

漏洞类型：远程代码执行

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方工具Dojo，允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server，成功利用此漏洞可导致Oracle WebLogic Server 被接管。

3. CVE-2022-23457 OWASP ESAPI 路径遍历漏洞

漏洞类型：路径遍历

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle WebLogic Server 中引用了第三方产品 OWASP Enterprise Security API。OWASP ESAPI中Validator.getValidDirectoryPath(String, String, File, boolean) 的默认实现可能会错误地将测试的输入字符串视为指定父目录的子目录。如果攻击可以指定表示"input"路径的整个字符串，这可能会导致控流检查被绕过。

4. CVE-2022-21570 Oracle Coherence拒绝服务漏洞

漏洞类型：拒绝服务

风险等级：高危

漏洞描述：Oracle Fusion Middleware 的 Oracle Coherence 中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击服务器，成功利用此漏洞可能会导致 Oracle Coherence 挂起或频繁服务崩溃。

5. CVE-2022-21548 Oracle WebLogic Server拒绝服务漏洞

漏洞类型：拒绝服务

风险等级：中危

漏洞描述：Oracle Fusion Middleware的Oracle WebLogic Server中存在漏洞，允许未经身份验证的攻击者通过 T3、IIOP 访问来攻击Oracle WebLogic Server，成功利用此漏洞可导致对Oracle WebLogic Server 某些可访问数据的未经授权的更新、插入或删除，同时可造成一定程度的拒绝服务。

影响版本：

• Oracle WebLogic Server == 12.2.1.3.0
• Oracle WebLogic Server == 12.2.1.4.0
• Oracle WebLogic Server == 14.1.1.0.0
• Oracle Coherence==3.7.1.0
• Oracle Coherence==12.2.1.3.0
• Oracle Coherence==12.2.1.4.0
• Oracle Coherence==14.1.1.0.0

修复建议：

请参考oracle官网发布的补丁进行及时更新，其链接如下：

https://www.oracle.com/security-alerts/cpujul2022.html