Oracle于美国时间2023年4月18日发布了Oracle WebLogic中间件产品2023年第二季度的安全公告,涉及漏洞共计 16 个。本次发布的漏洞无高危漏洞。
此外,Oracle JDK1.8 的小版本号已经分别升级到了371(Oracle JDK 8 Update 371),JDK7 版本的官方补丁更新已经结束,版本号已停留在1.7.0_351。
OPatch的最新版本号已经更新为:13.9.4.2.12。
目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.3.0、12.2.1.4.0)、14c(14.1.1.0.0),该三个版本的补丁技术支持日期分别到2022年10月(目前仍在提供补丁技术支持)、2025年7月,以及2028年1月。
附:WebLogic中间件漏洞公告(2023年4月18日)
| CVE-ID | 产品 | 组件 | 协议 | 远程利用 无需授权? |
基础分值 | 攻击媒介 | 攻击复杂度 | 用户交互 | 保密性 | 受影响版本 (On-support) |
| CVE-2023-24998 | Oracle WebLogic Server | Console (Apache Commons FileUpload) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2022-40152 | Oracle WebLogic Server | Samples (XStream) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-36090 | Oracle WebLogic Server | Third Party (Apache Commons Compress) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-24998 | Oracle WebLogic Server | Third Party (Apache Commons FileUpload) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2022-45685 | Oracle WebLogic Server | Third Party (Jettison) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2021-31684 | Oracle WebLogic Server | Third Party (json-smart) | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-21996 | Oracle WebLogic Server | Web Services | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-21931 | Oracle WebLogic Server | Core | T3 | Yes | 7.5 | Network | Low | None | High | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-21964 | Oracle WebLogic Server | Core | T3 | Yes | 7.5 | Network | Low | None | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-21979 | Oracle WebLogic Server | Core | T3 | Yes | 7.5 | Network | Low | None | High | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
| CVE-2020-25638 | Oracle WebLogic Server | Core (JBoss Enterprise Application Platform) | HTTP | Yes | 7.4 | Network | High | None | High | 14.1.1.0.0 |
| CVE-2020-6950 | Oracle WebLogic Server | Third Party (Eclipse Mojarra) | HTTP | Yes | 6.5 | Network | Low | Required | High | 12.2.1.3.0 12.2.1.4.0 |
| CVE-2023-21956 | Oracle WebLogic Server | Web Container | HTTP | Yes | 6.1 | Network | Low | Required | Low | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-21960 | Oracle WebLogic Server | Core | HTTP | Yes | 5.6 | Network | High | None | Low | 12.2.1.3.0 12.2.1.4.0 |
| CVE-2021-22569 | Oracle WebLogic Server | Third Party (Google Protobuf-Java) | None | No | 5.5 | Local | Low | Required | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2022-31160 | Oracle WebLogic Server | Console (jQueryUI) | HTTP | No | 3.9 | Local | High | None | Low | 12.2.1.4.0 14.1.1.0.0 |
