CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞)
(修复方案)CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞
- 1. 升级版本修复
- 2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)
1. 升级版本修复
该漏洞影响组件为 Oracle Web Applications Desktop Integrator(12.2.3 – 12.2.11)
升级到 12.2.12 及以上版本可修复此漏洞
可参考此文档:https://www.quorumcyber.com/threat-intelligence/exploitation-of-critical-vulnerability-in-oracle-e-business-suite/?utm_source=chatgpt.com
2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)
例如,可在 Nginx 中可添加如下 location 配置:
location ~* /OA_HTML/BneViewerXMLService{if($query_string~*"bne:uueupload=TRUE"){return403;}}或者使用 Apache + mod_rewrite,在.htaccess或主配置文件中加入:
RewriteEngine On RewriteCond %{REQUEST_URI}^/OA_HTML/BneViewerXMLService$ RewriteCond %{QUERY_STRING}bne:uueupload=TRUE[NC]RewriteRule .* -[F]CVE-2021-29441: Alibaba Nacos User-Agent 存在鉴权绕过)
云原生部署实战:Docker 镜像瘦身 × K8s 部署 × Helm 一键发布)
