近日，嘉诚安全监测到Oracle官方发布了Oracle WebLogic多个漏洞安全风险通告，共修复了18个安全漏洞，其中有3个被Oracle官方标记为“Critical”，8个被标记为“Important”。

WebLogic是美国Oracle公司出品的一个Application Server，确切地说是一个基于Jave EE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式 Web应用、网络应用和数据库应用的Java应用服务器。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁进行更新，避免引发漏洞相关的网络安全事件。

经研判以下漏洞影响较大

1.CNNVD-202203-2514（CVE-2022-22965）

Spring Framework远程代码执行漏洞，该漏洞在 jdk9+的环境上由于Spring应用程序作为war包部署在Tomcat上时可以被写入恶意代码，攻击者可利用该漏洞，通过构造恶意数据执行远程代码攻击，最终可获取服务器最高权限。

2.CNNVD-202112-1483（CVE-2021-23450）

Dojo原型污染漏洞，该漏洞是由于Oracle WebLogic Server使用了存在漏洞的Dojo，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码攻击，最终可获取服务器最高权限。

3.CNNVD-202204-4378（CVE-2022-23457）

OWASP ESAPI路径遍历漏洞，该漏洞是由于Oracle WebLogic Server使用了存在漏洞的OWASP Enterprise Security API，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行目录遍历攻击，最终可获取服务器最高权限。

通用修复建议：

根据影响版本中的信息，厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.oracle.com/security-alerts/cpujul2022.html