一、概要

近日，華為云關(guān)注到Weblogic未授權(quán)命令執(zhí)行漏洞PoC已公開(kāi)（漏洞編號(hào)：CVE-2020-14882/CVE-2020-14883），安全風(fēng)險(xiǎn)升高，請(qǐng)受影響的用戶盡快升級(jí)至安全版本。

10月21日，華為云監(jiān)測(cè)到Oracle官方發(fā)布了10月份的安全更新，披露了多款旗下產(chǎn)品的安全漏洞， 其中包括5個(gè)WebLogic的嚴(yán)重漏洞（CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267），未經(jīng)身份驗(yàn)證的攻擊者可通過(guò)HTTP、IIOP、T3協(xié)議發(fā)送構(gòu)造好的惡意請(qǐng)求實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，風(fēng)險(xiǎn)較高。

華為云提醒使用Weblogic及Oracle相關(guān)產(chǎn)品的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.oracle.com/security-alerts/cpuoct2020.html

本次Oracle季度安全更新修復(fù)了402個(gè)危害程度不同的安全漏洞，主要涵蓋了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等產(chǎn)品，具體漏洞信息請(qǐng)參考上述官方鏈接。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞說(shuō)明

（注：以上為部分嚴(yán)重漏洞，其他漏洞及詳情請(qǐng)參見(jiàn)官方說(shuō)明）

四、漏洞影響范圍

Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等產(chǎn)品

五、漏洞處置

官方已發(fā)布補(bǔ)丁修復(fù)程序，需用戶持有正版軟件的許可賬號(hào)，登陸https://support.oracle.com后，下載最新補(bǔ)丁。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。