一、漏洞详情

Oracle发布了2022年4月份的风险通告。此次安全更新发布了520个漏洞补丁，其中Oracle Fusion Middleware有54个漏洞补丁更新，主要涵盖了Oracle Weblogic Server、Oracle Access Manager、Oracle Business Intelligence Enterprise Edition、Oracle Business Activity Monitoring等产品。

Oracle Weblogic Server多个漏洞

Weblogic本次更新了多个漏洞，这些漏洞允许未经身份验证的攻击者通过HTTP或T3协议发送构造好的恶意请求，从而在Oracle WebLogic Server执行代码或窃取关键数据。严重漏洞编号如下：

- CVE-2022-23305：未经身份验证的攻击者通过HTTP协议发送恶意请求，最终接管服务器。

- CVE-2022-21420：未经身份验证的攻击者通过T3协议发送恶意请求，最终接管服务器。

Oracle Communications多个严重漏洞

此重要补丁更新包含针对Oracle Communications 的39个新的安全补丁。其中的22个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2022-21431: 未经身份验证的攻击者通过TCP协议发送恶意请求，最终接管Oracle Communications Billing and Revenue Management。

- CVE-2022-23990: 未经身份验证的攻击者通过HTTP协议发送恶意请求，经过用户交互后，最终接管Oracle Communications MetaSolv Solution。

Oracle Financial Services Applications多个严重漏洞

此重要补丁更新包含针对Oracle Financial Services Applications的41个新的安全补丁。其中的19个漏洞无需身份验证即可远程利用，即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下：

- CVE-2022-22965：未经身份验证的攻击者可以通过HTTP发送恶意请求，最终接管Oracle Financial Services Analytical Applications Infrastructure。

- CVE-2021-2351：未经过身份验证的攻击者可以通过Oracle Net发送恶意请求，最终接管Oracle Banking Enterprise Default Management。

Oracle Communications Applications 多个严重漏洞

此重要补丁更新包含针对Oracle Communications Applications的39个新的安全补丁。其中的22个漏洞无需身份验证即可远程利用，即可以通过网络利用而无需用户凭据。严重漏洞编号如下：

- CVE-2020-13936：未经身份验证的攻击者可以通过HTTP发送恶意请求，最终接管Oracle Communications Network Integrity。

- CVE-2022-21430：未经身份验证的攻击者可以通过TCP发送恶意请求，最终接管Oracle Communications Billing and Revenue Management。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Oracle相关产品和第三方组件。

三、修复建议

及时更新补丁，参考oracle官网发布的补丁:https://www.oracle.com/security-alerts/cpuapr2022.html