一、事件描述
近日,广西教育系统网络安全监测中心监测到orcalez6尊龙平台官网发布了2023年4月安全资讯,资讯中说明修复了多个产品漏洞,其中包含一个 oracle weblogic server 远程代码执行漏洞。该漏洞允许未经身份验证的攻击者通过iiop协议网络访问并破坏易受攻击的weblogic server,成功的漏洞利用可导致weblogic server被攻击者接管,从而造成远程代码执行。漏洞编号:cve-2023-21931。
二、影响范围
weblogic server=12.2.1.3.0;
weblogic server=12.2.1.4.0;
weblogic server=14.1.1.0.0。
三、漏洞等级
广西教育系统网络安全监测中心将该漏洞评级为高危。
四、安全建议
官方已经针对漏洞发布补丁更新,参考下载地址如下:
https://www.oracle.com/security-alerts/cpuapr2023.html
若非必须开启,可临时禁用t3和iiop协议。