HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）与Mandiant在周四发布的一份新报告中表示，自2025年8月9日起，甲骨文公司电子商务套件（EBS）软件的一个安全漏洞遭到零日漏洞利用，可能已影响到数十家机构。 谷歌云威胁情报首席分析师John Hultquist在接受The Hacker News采访时表示：“我们仍在评估这一事件的范围，但相信已有数十家组织受到影响”，“过去一些Cl0p的数据勒索行动中受害者多达数百家。不幸的是，这类大规模零日攻击活动正在成为网络犯罪的常态。” 这次活动带有Cl0p勒索软件团伙的典型特征。攻击者组合利用了多个不同漏洞，其中包括一个编号为CVE-2025-61882（CVSS评分9.8）的零日漏洞，用以入侵目标网络并窃取敏感数据。谷歌称，其发现可疑活动可追溯至2025年7月10日，但这些早期尝试的成功程度尚不明确。Oracle此后已发布补丁修复漏洞。 攻击背景与手法 Cl0p又名Graceful Spider，自2020年活跃以来，曾多次利用零日漏洞发动大规模攻击，目标包括Accellion旧版文件传输设备（FTA）、GoAnywhere MFT、Progress MOVEit MFT和Cleo LexiCom等软件。以往 FIN11 黑客组织发起的钓鱼邮件活动通常是 CL0P 勒索软件部署的前奏，但谷歌表示，此次发现该文件加密恶意软件的操控者似乎是另一个不同的黑客组织。 2025 年 9 月 29 日，新一轮攻击正式展开，攻击者利用数百个被盗的第三方机构账户（这些账户分属不同组织）向企业高管发起大规模钓鱼邮件攻击。据称，这些账户的凭证是在地下论坛购买的，很可能来自信息窃取恶意软件日志。 邮件中声称攻击者已入侵目标机构的甲骨文电子商务套件应用并窃取敏感数据，要求对方支付一笔未指明金额的赎金，否则将泄露被盗信息。截至目前，此次攻击事件的受害者尚未出现在 CL0P 的数据泄露网站上，这与该组织以往的攻击模式一致 —— 通常会等待数周后才公布受害者名单。 攻击者在攻击过程中综合运用了服务器端请求伪造、回车换行注入、身份验证绕过及可扩展样式表语言模板注入等多种技术手段，以获取目标甲骨文电子商务套件服务器的远程代码执行权限并建立反向 shell。 技术细节 谷歌表示，2025 年 8 月前后，发现某威胁行为者利用 “/OA_HTML/SyncServlet” 组件的漏洞实现远程代码执行，并最终通过模板预览功能触发可扩展样式表语言负载。目前已发现该负载中嵌入了两条不同的 Java 负载链： GOLDVEIN.JAVA：这是名为 “金脉”（GOLDVEIN）的下载器的 Java 变种（该下载器的 PowerShell 版本最早于 2024 年 12 月在多起克利奥软件产品漏洞利用事件中被发现），能够从命令与控制服务器接收第二阶段负载。 SAGEGIFT：这是一款为甲骨文 WebLogic 服务器定制的 Base64 编码加载器，用于启动内存驻留型投放器 SAGELEAF，进而安装恶意 Java servlet 过滤器 SAGEWAVE，该过滤器可用于安装一个加密压缩包，其中包含未知的后续阶段恶意软件（不过其主要负载与 FIN11 黑客组织的 GOLDTOMB 后门程序中的命令行界面模块存在部分重合）。 此外，还观察到威胁行为者通过电子商务套件的 “applmgr” 账户执行各类侦察命令，并通过运行 GOLDVEIN.JAVA 的 Java 进程启动 bash 进程执行相关命令。 值得注意的是，2025 年 7 月事件响应过程中发现的部分攻击痕迹，与 2025 年 10 月 3 日 “分散的 LAPSUS$ 猎人” 电报群泄露的一个漏洞利用程序存在重合。但谷歌表示，目前尚无足够证据表明该网络犯罪团伙参与了此次攻击活动。 战略评估 GTIG 指出，从此次攻击投入的资源规模来看，发起初始入侵的威胁行为者很可能在攻击前投入了大量资源进行研究。 这家科技巨头表示，目前尚未正式将此次系列攻击归属于某个已知威胁组织，但强调攻击者使用 CL0P 名号这一行为值得关注。不过，有迹象表明该威胁行为者与 CL0P 存在关联。谷歌还指出，此次攻击中使用的后期利用工具与此前疑似 FIN11 组织攻击活动中使用的恶意软件（如 GOLDVEIN 和 GOLDTOMB）存在重合，且用于发送近期勒索邮件的一个被盗账户此前曾被 FIN11 组织使用过。 声明中提到：“先利用广泛使用的企业级应用程序中的零日漏洞，数周后发起大规模品牌化勒索活动，这一模式是 FIN11 组织的典型攻击特征，该模式具有战略优势，可能也会被其他威胁行为者借鉴。” “针对存储敏感数据的面向公众的应用程序及设备发起攻击，可能会提高数据窃取效率，因为威胁行为者无需投入时间和资源进行横向渗透。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）建议，可能受Oracle Cloud Infrastructure数据泄露事件影响的企业组织重置密码，以降低凭证泄露相关风险。 该机构在安全公告中明确表示：”CISA已注意到关于Oracle 旧版云环境可能遭未授权访问的公开报告。尽管事件影响范围尚未确认，但所披露活动性质表明可能对企业及个人构成风险。” 凭证信息（包括用户名、电子邮箱、密码、认证令牌及加密密钥）的泄露可能对企业环境造成重大安全威胁。攻击者可利用这些信息实施以下行为： 1、入侵企业云环境及身份管理系统 2、实施权限提升与网络横向移动 3、发起钓鱼攻击或商业邮件欺诈（BEC） 4、在暗网出售敏感数据 基于”防患于未然”原则，CISA提出具体应对措施： 1、为已知受影响用户重置密码 2、全面审查源代码、基础设施即代码模板、自动化脚本及配置文件中的硬编码凭证 3、采用安全认证方式替代现有凭证存储机制 4、加强认证日志异常活动监控 5、强制实施防钓鱼多因素认证（MFA） 对个人用户的建议： 1、立即更新所有在线账户密码 2、为每个账户设置高强度唯一密码 3、警惕钓鱼邮件等社会工程攻击 事件背景追溯： 2024年3月，名为’rose87168’的威胁分子在BreachForums论坛出售从Oracle云SSO平台窃取的600万条数据记录，声称掌握加密的SSO密码、Java密钥库（JKS）文件、密钥文件、企业管理器JPS密钥及轻量目录访问协议（LDAP）哈希密码，索要价值约1980万欧元的10万单位门罗币（XMR）作为入侵方法赎金。 Oracle 公司初期否认数据泄露，但一周前承认攻击者入侵了2017年停用的旧版系统环境。公司向BleepingComputer声明强调： 1、现有Oracle云基础设施（OCI）未遭安全入侵 2、无客户环境被渗透或数据遭窃取 3、泄露的仅为两个非OCI旧服务器用户名 4、密码字段均采用加密/哈希处理，攻击者无法破解 5、所有OCI服务运行未受影响 目前美国联邦调查局（FBI）已介入事件调查。Oracle 承诺将持续配合执法机构工作，并加强遗留系统安全审计。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文终于在发给客户的电子邮件通知中确认，一名黑客窃取并泄露了从其描述为“两台过时服务器”中盗取的凭据。 然而，该公司补充说，其甲骨文云服务器并未被攻破，此次事件未影响客户数据和云服务。 “甲骨文希望明确声明，甲骨文云——也称为甲骨文云基础设施或 OCI——并未发生安全漏洞，”甲骨文在与 BleepingComputer 共享的客户通知中表示。 “没有 OCI 客户环境被攻破。没有 OCI 客户数据被查看或窃取。没有任何 OCI 服务被中断或以任何方式受到损害，”甲骨文在从 replies@oracle-mail.com 发送的电子邮件中补充道，敦促客户如有其他问题联系甲骨文支持或其账户经理。 “一名黑客确实访问并发布了从未属于 OCI 的两台过时服务器中的用户名。由于这两台服务器上的密码要么被加密，要么被哈希处理，因此黑客并未暴露可用的密码。因此，黑客无法访问任何客户环境或客户数据。” 自今年 3 月事件曝光以来，当时一名威胁者（rose87168）在 BreachForums 上出售 600 万条数据记录，甲骨文在与媒体分享的声明中一直否认有关甲骨文云漏洞的报道。尽管这确实与甲骨文告诉客户的内容相符——即漏洞影响的是旧平台甲骨文云经典版——但网络安全专家凯文·博蒙特表示，这只是文字游戏。 “甲骨文将旧的甲骨文云服务重新命名为甲骨文经典版。甲骨文经典版发生了安全事件，”博蒙特说。“甲骨文通过这种范围界定否认‘甲骨文云’被入侵——但仍是甲骨文管理的甲骨文云服务。这就是文字游戏的一部分。” BleepingComputer 已联系甲骨文确认这些通知的真实性，并非由威胁者或其他第三方发送，但尚未收到回复。甲骨文也尚未澄清被攻破的服务器是否属于甲骨文云经典版或其他平台。 据称从甲骨文云窃取的数据正在出售 资料来源：BleepingComputer 此前一周，该公司在与部分客户的私下通话中承认，攻击者在攻破 2017 年最后一次使用的“遗留环境”后窃取了旧的客户凭据。 然而，尽管甲骨文告诉客户这是非敏感的旧遗留数据，但漏洞背后的威胁者与 BleepingComputer 分享了 2024 年末的数据，并在 BreachForums 上发布了 2025 年的新记录。 BleepingComputer 还与多名甲骨文客户单独确认，从威胁者那里收到的泄露数据样本（包括关联的 LDAP 显示名称、电子邮件地址、名字和其他识别信息）是有效的，此前甲骨文曾告诉 BleepingComputer，“甲骨文云未发生任何漏洞。发布的凭据不属于甲骨文云。没有甲骨文云客户遭受漏洞或丢失任何数据。” 网络安全公司 CybelAngel 上周首次透露，甲骨文告诉客户，攻击者早在 2025 年 1 月就在甲骨文的部分 Gen 1（也称为甲骨文云经典版）服务器上部署了 Web Shell 和其他恶意软件。据称，直到 2 月下旬漏洞被发现之前，威胁者从甲骨文身份管理器（IDM）数据库中窃取了数据，包括用户电子邮件、哈希密码和用户名。 上个月，BleepingComputer 首次报道，甲骨文私下通知客户，甲骨文健康（一家之前称为 Cerner 的软件即服务（SaaS）公司）在 1 月发生了另一起漏洞，影响了美国多家医疗机构和医院的患者数据。 消息人士告诉 BleepingComputer，一名名为“Andrew”的威胁者——尚未声称与任何勒索或勒索软件操作有关——现在正在勒索被攻破的医院，要求以加密货币支付数百万美元，以不出售或泄露被盗数据。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗，但BleepingComputer已与多家公司确认，威胁行为者分享的数据样本是有效的。 上周，一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器，并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示，被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密，并愿意与能够帮助恢复这些密码的人分享部分数据。 威胁行为者发布了多个文本文件，包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表，这些域据称受到了此次入侵的影响。需要注意的是，其中一些公司域看起来像是测试用的，而且每个公司有多个域。 威胁行为者正在出售据称被盗的Oracle Cloud数据 来源：BleepingComputer 除了数据之外，“rose87168”还与BleepingComputer分享了一个Archive.org网址，该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件，其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件，这表明实际发生了入侵。 然而，Oracle否认其Oracle Cloud遭受了入侵，并拒绝回答关于此次事件的任何进一步问题。 “Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据，”该公司上周五对BleepingComputer表示。 然而，这一否认与BleepingComputer的调查结果相矛盾，后者从威胁行为者那里获得了更多泄露数据的样本，并联系了相关公司。 这些公司的代表在承诺匿名的情况下同意确认数据，他们确认了信息的真实性。这些公司表示，相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的，并且属于他们。 威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。 一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件（secalert_us@oracle.com），报告他们入侵了服务器。 “我已经深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，让我获得了600万用户信息的完全访问权限，”BleepingComputer看到的电子邮件中写道。 另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流，该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖，因为我们无法验证他们的身份或电子邮件交流的真实性。 在这封电子邮件交流中，威胁行为者表示，一个使用@proton.me电子邮件地址的Oracle人告诉他们：“我们收到了你的电子邮件。从现在起，我们使用这个电子邮件进行所有通信。你收到后告诉我。” 网络安全公司Cloudsek还发现了一个Archive.org网址，显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后，Oracle已将这台服务器下线。 该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响，该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。 BleepingComputer已多次就这些信息向Oracle发送电子邮件，但尚未收到任何回复。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名名为“rose87168”的威胁行为者声称从Oracle云服务器窃取了600万条记录。 据称，被盗数据包括Java密钥库（JKS）文件、加密的单点登录（SSO）密码、哈希的轻量级目录访问协议（LDAP）密码、密钥文件以及企业管理器Java平台安全（JPS）密钥。 此次漏洞据称影响了全球超过14万名租户，引发了对云安全的严重担忧。 黑客声称利用了Oracle云登录基础设施中的一个漏洞，特别是针对login.(region-name).oraclecloud.com这个端点。 据称，这个子域名托管了过时的Oracle融合中间件软件，该软件可能容易受到CVE-2021-35587的攻击，这是一个已知的影响Oracle访问管理器的漏洞。 被盗数据正在暗网论坛上兜售，包括漏洞论坛。“rose87168”正在向受影响的组织索要赎金，以防止其数据被出售或曝光。 此外，威胁行为者通过提供奖励，刺激其他人帮助解密加密的SSO和LDAP密码。 Oracle否认其云基础设施遭到入侵。在2025年3月21日发布的一份声明中，该公司声称没有客户数据被泄露，发布的凭据与其系统无关。 自2025年1月以来一直活跃的“rose87168”在策划此次攻击时展示了复杂的方法。黑客声称在将被盗数据在线兜售前约40天就已获得访问权限。 使用Oracle云的组织被建议立即采取行动： 重置凭据：更改所有SSO、LDAP及相关密码，并强制执行强密码策略和多因素认证（MFA）。 监控系统：部署安全监控工具，以检测未授权访问或异常活动。 调查漏洞：进行法医调查，以识别漏洞并减轻风险。 与Oracle联系：向Oracle报告事件，并寻求关于保护系统的指导。 加强安全：实施严格的访问控制和增强的日志记录机制。 此次漏洞事件凸显了针对云环境的网络攻击日益复杂。它强调了定期更新软件、主动监控威胁以及实施强大的安全措施以减轻风险的重要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oracle敦促用户尽快应用2025年1月的关键补丁更新（CPU），以修复其产品和服务中的318个安全漏洞。 最严重的漏洞是Oracle Agile产品生命周期管理（PLM）框架中的一个高危漏洞（CVE-2025-21556，CVSS评分：9.9），该漏洞允许攻击者接管易受攻击的实例。据NIST国家漏洞数据库（NVD）描述，这是一个易于利用的漏洞，攻击者可通过HTTP以低权限网络访问破坏Oracle Agile PLM框架。值得注意的是，Oracle在2024年11月警告称，同一产品中的另一个漏洞（CVE-2024-21287，CVSS评分：7.5）正被积极利用。两者均影响Oracle Agile PLM框架9.3.6版本。 Oracle安全保障副总裁Eric Maurice表示：“我们强烈建议用户为Oracle Agile PLM框架应用2025年1月的关键补丁更新，因为它不仅修复了CVE-2024-21287，还包含其他补丁。” 其他同样严重的漏洞（CVSS评分：9.8）包括： CVE-2025-21524：JD Edwards EnterpriseOne Tools的监控与诊断SEC组件漏洞 CVE-2023-3961：JD Edwards EnterpriseOne Tools的E1开发平台技术（Samba）组件漏洞 CVE-2024-23807：Oracle Agile工程数据管理的Apache Xerces C++ XML解析器组件漏洞 CVE-2023-46604：Oracle通信直径信令路由器的Apache ActiveMQ组件漏洞 CVE-2024-45492：多个产品（包括Oracle通信网络分析数据总监和HTTP服务器）的XML解析器（libexpat）组件漏洞 CVE-2024-56337：Oracle通信策略管理的Apache Tomcat服务器组件漏洞 CVE-2025-21535：Oracle WebLogic服务器核心组件漏洞 CVE-2016-1000027：Oracle BI Publisher的Spring Framework组件漏洞 CVE-2023-29824：Oracle商业智能企业版的分析服务器（SciPy）组件漏洞 特别是CVE-2025-21535，与CVE-2020-2883（CVSS评分：9.8）相似，后者是Oracle WebLogic服务器中的一个关键安全漏洞，攻击者可通过IIOP或T3网络访问进行未经身份验证的攻击。本月，美国网络安全与基础设施安全局（CISA）将CVE-2020-2883添加到其已知被利用漏洞目录（KEV），并指出其已在野外被积极利用。 此外，Oracle还修复了影响其通信计费和收入管理产品的关键漏洞CVE-2024-37371（CVSS评分：9.1），该漏洞可能导致攻击者通过发送带有无效长度字段的消息令牌引发内存读取错误。 Oracle还发布了针对Oracle Linux的更新，包含285个新安全补丁。用户被建议及时应用相关修复以保持系统安全，避免潜在的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已警告美国联邦机构，需针对Oracle WebLogic Server和Mitel MiCollab系统中正被积极利用的关键漏洞加强系统安全。 该网络安全机构已将Mitel MiCollab统一通信平台中NuPoint Unified Messaging（NPM）组件存在的关键路径遍历漏洞（CVE-2024-41713）添加到其“已知被利用漏洞目录”中。 此安全漏洞使攻击者能够执行未经授权的管理操作，并访问用户和网络信息。“成功利用此漏洞可能会使攻击者获得未经授权的访问权限，从而对系统的保密性、完整性和可用性产生潜在影响。此漏洞无需身份验证即可被利用，”MiCollab解释道。 “如果漏洞被成功利用，攻击者可能无需身份验证即可访问配置信息，包括非敏感用户和网络信息，并在MiCollab服务器上执行未经授权的管理操作。” Oracle WebLogic Server存在的关键漏洞（CVE-2020-2883）四年前的2020年4月已被修复，但该漏洞仍使未经身份验证的攻击者能够远程控制未打补丁的服务器。 美国网络安全机构还警告了Mitel MiCollab存在的第二个路径遍历漏洞（CVE-2024-55550），该漏洞使拥有管理员权限的已验证攻击者能够读取易受攻击服务器上的任意文件。然而，由于成功利用该漏洞无法提升权限，且可访问的文件不包含敏感系统信息，因此其影响有限。 今日，CISA已将这三个漏洞全部添加到其“已知被利用漏洞目录”中，并将其标记为正在被积极利用。根据2021年11月发布的《强制性操作指令》（BOD）22-01的要求，联邦民用行政部门（FCEB）机构必须在1月28日前的三周内确保其网络安全。 CISA周二表示：“此类漏洞是恶意网络行为者的常见攻击途径，对联邦机构构成重大风险。” 虽然“已知被利用漏洞”（KEV）目录主要关注向美国联邦机构发出有关应尽快修补漏洞的警报，但建议所有组织优先缓解这些安全漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

The hacker news 网站披露，研究人员发现了一个严重的 Oracle 云基础设施 (OCI) 漏洞，用户可以利用该漏洞访问其他 Oracle 客户的虚拟磁盘，漏洞披露后 24 小时内就修复了。 据悉，该漏洞由 Wiz 安全专家首次发现，其研究主管 Shir Tamari 在推文中表示，甲骨文云中的每个虚拟磁盘都有一个唯一标识符（称为 OCID）。后续，Tamari 补充称，只要攻击者拥有其 Oracle 云标识符(OCID)，就可以读写任何未附加的存储卷或允许多重附加的附加存储卷，从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。 在没有足够权限的情况下使用 CLI 访问卷 从本质上讲，该漏洞的根源在于磁盘可以在没有任何明确授权的情况下通过 Oracle 云标识符 (OCID) 附加到另一个帐户中的计算实例。这意味着拥有 OCID 的攻击者可以利用 AttachMe 访问任何存储卷，从而导致数据泄露、渗漏，或者更改引导卷以获取代码执行。 除了知道目标卷的 OCID 之外，发起攻击的另一个先决条件是攻击者的实例必须与目标处于相同的可用性域 (AD) 中。 Wiz 研究员 Elad Gabay 强调，用户权限验证不足是云服务提供商中常见的错误类别，识别此类问题的最佳方法是在开发阶段对每个敏感 API 执行严格的代码审查和全面测试。 早些时候，Wiz 研究人员还发现了一个 类似的云隔离漏洞，该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中，一旦被利用，任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。 值得一提的是，上个月，相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/345399.html 封面来源于网络，如有侵权请联系删除

安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 研究人员当月已向甲骨文揭露2漏洞，但甲骨文今年才修补，因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497，甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445，但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事，也超出了一般标准的90天，他们认为这家软体巨人的动作太迟缓。 ADF Faces框架包括超过150个支援Ajax的JavaServer Faces（JSF）元件及开发框架，可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI（Oracle Business Intelligence）的前远端程序码执行（pre-auth RCE）漏洞，该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采，最严重可接管JDeveloper。这项漏洞风险值达9.8。 但研究人员最后发现，该漏洞还影响多个甲骨文产品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework开发的网站也会受影响，包括许多甲骨文线上系统及Oracle Cloud Infrastructure。 Fusion Middleware的Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞则是Jang找到。OAM是单一签入（SSO）元件。这漏洞可和CVE-2022-21497串联起来，在OAM达成远端程序码执行，让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料，风险值为8.1。研究人员强调这十分严重，因为VMWare、华为及高通都使用OAM的SSO，且甲骨文许多Oracle线上服务也使用OAM作为SSO。 ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢，但甲骨文已释出更新版，研究人员也呼吁企业用户尽速安装最新版本。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/u78-LspaS2dhUTR-_eGaHg 封面来源于网络，如有侵权请联系删除