Oracle 漏洞列表

Oracle E-Business Suite存在信息泄露漏洞，攻击者可以利用该漏洞获取大量敏感信息，以供下一步的攻击使用。

Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0 is susceptible to remote code execution. An attacker can execute malware, obtain sensitive information, modify data, and/or gain full control over a compromised machine without entering necessary credentials. See also CVE-2020-14882, which is addressed in the October 2020 Critical Patch Update. SHODAN: http.html:"Weblogic Application Server"

The Oracle Fusion Middleware WebLogic Server admin console in versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0 is vulnerable to an easily exploitable vulnerability that allows high privileged attackers with network access via HTTP to compromise Oracle WebLogic Server. Shodan: title:"Oracle PeopleSoft Sign-in" Fofa: title="Oracle PeopleSoft Sign-in"

Oracle WebLogic Server (Oracle Fusion Middleware (component: WLS Core Components) is susceptible to a remote code execution vulnerability. Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 2.2.1.3.0 and 12.2.1.4.0. This easily exploitable vulnerability could allow unauthenticated attackers with network access via IIOP to compromise Oracle WebLogic Server.

The Oracle Access Manager portion of Oracle Fusion Middleware (component: OpenSSO Agent) is vulnerable to remote code execution. Supported versions that are affected are 11.1.2.3.0, 12.2.1.3.0 and 12.2.1.4.0. This is an easily exploitable vulnerability that allows unauthenticated attackers with network access via HTTP to compromise Oracle Access Manager. FOFA: body="/oam/pages/css/login_page.css" SHODAN: http.title:"Oracle Access Management"

Oracle E-Business Suite 12.2.3 through 12.2.11 is susceptible to remote code execution via the Oracle Web Applications Desktop Integrator product, Upload component. An attacker with HTTP network access can execute malware, obtain sensitive information, modify data, and/or gain full control over a compromised system without entering necessary credentials. FOFA: app="Oracle-E-Business-Suite"

Oracle Business Intelligence default admin credentials were discovered.

Oracle Fatwire 6.3 suffers from a path traversal vulnerability in the getSurvey.jsp endpoint. app="Oracle-FatWire-Content-Server"

Oracle PeopleSoft Enterprise PeopleTools 是 Oracle 公司提供的一套企业管理工具和技术平台组件。其 /PSIGW/PeopleSoftServiceListeningConnector 接口存在 XML 外部实体注入（XXE）漏洞，攻击者可以通过构造恶意的 XML 请求读取服务器上的敏感文件或与外部服务器交互，可能导致信息泄露或部分拒绝服务（partial DOS）。

An unspecified vulnerability in the Oracle Reports Developer component in Oracle Fusion Middleware 11.1.1.4, 11.1.1.6, and 11.1.2.0 allows remote attackers to affect confidentiality and integrity via unknown vectors related to Report Server Component.

An unspecified vulnerability in the Oracle WebLogic Server component in Oracle Fusion Middleware 10.0.2.0 and 10.3.6.0 allows remote attackers to affect confidentiality via vectors related to WLS - Web Services.

Oracle GlassFish Server Open Source Edition 4.1 is vulnerable to both authenticated and unauthenticated local file inclusion vulnerabilities that can be exploited by issuing specially crafted HTTP GET requests.

Oracle GlassFish Server Open Source Edition 3.0.1 (build 22) is vulnerable to unauthenticated local file inclusion vulnerabilities that allow remote attackers to request arbitrary files on the server.

Oracle Content Server version 11.1.1.9.0, 12.2.1.1.0 and 12.2.1.2.0 are susceptible to cross-site scripting. The vulnerability can be used to include HTML or JavaScript code in the affected web page. The code is executed in the browser of users if they visit the manipulated site.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent - WLS Security) is susceptible to remote command execution. Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 and 12.2.1.2.0. This easily exploitable vulnerability allows unauthenticated attackers with network access via T3 to compromise Oracle WebLogic Server.

The Oracle WebLogic Server component of Oracle Fusion Middleware (Web Services) versions 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 and 12.2.1.2 is susceptible to a difficult to exploit vulnerability that could allow unauthenticated attackers with network access via HTTP to compromise Oracle WebLogic Server.

The Oracle Applications Framework component of Oracle E-Business Suite (subcomponent: Popup windows (lists of values, datepicker, etc.)) is impacted by open redirect issues in versions 12.1.3, 12.2.3, 12.2.4, 12.2.5 and 12.2.6. These easily exploitable vulnerabilities allow unauthenticated attackers with network access via HTTP to compromise Oracle Applications Framework. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle Applications Framework, attacks may significantly impact additional products. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Applications Framework accessible data.

Oracle Secure Global Desktop Administration Console 4.4 contains a reflected cross-site scripting vulnerability in helpwindow.jsp via all parameters, as demonstrated by the sgdadmin/faces/com_sun_web_ui/help/helpwindow.jsp windowTitle parameter.

The Oracle WebCenter Sites component of Oracle Fusion Middleware is susceptible to multiple instances of cross-site scripting that could allow unauthenticated attackers with network access via HTTP to compromise Oracle WebCenter Sites. Impacted versions that are affected are 11.1.1.8.0, 12.2.1.2.0 and 12.2.1.3.0. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle WebCenter Sites, attacks may significantly impact additional products. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle WebCenter Sites accessible data as well as unauthorized update, insert or delete access to some of Oracle WebCenter Sites accessible data.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: WLS - Web Services) is susceptible to a remote code execution vulnerability that is easily exploitable and could allow unauthenticated attackers with network access via HTTP to compromise the server. Supported versions that are affected are 12.1.3.0, 12.2.1.2 and 12.2.1.3.

Oracle E-Business Suite, Application Management Pack component (User Monitoring subcomponent), is susceptible to blind server-side request forgery. An attacker with network access via HTTP can gain read access to a subset of data, connect to internal services like HTTP-enabled databases, or perform post requests towards internal services which are not intended to be exposed. Affected supported versions are 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, and 12.2.7.

The Oracle WebCenter Sites 11.1.1.8.0 component of Oracle Fusion Middleware is impacted by easily exploitable cross-site scripting vulnerabilities that allow high privileged attackers with network access via HTTP to compromise Oracle WebCenter Sites.

Oracle Fusion Middleware WebCenter Sites 12.2.1.3.0 suffers from broken access control. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle WebCenter Sites accessible data.

The Oracle WebCenter Sites component of Oracle Fusion Middleware 12.2.1.3.0 is susceptible to SQL injection via an easily exploitable vulnerability that allows low privileged attackers with network access via HTTP to compromise Oracle WebCenter Sites. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Oracle WebCenter Sites accessible data.

Oracle Business Intelligence versions 11.1.1.9.0, 12.2.1.3.0 and 12.2.1.4.0 are vulnerable to path traversal in the BI Publisher (formerly XML Publisher) component of Oracle Fusion Middleware (subcomponent: BI Publisher Security).

Oracle Business Intelligence and XML Publisher 11.1.1.9.0 / 12.2.1.3.0 / 12.2.1.4.0 are vulnerable to an XML external entity injection attack.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services) allows unauthenticated attackers with network access via HTTP to compromise Oracle WebLogic Server. Versions that are affected are 10.3.6.0.0 and 12.1.3.0.0.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services) versions 0.3.6.0.0, 12.1.3.0.0 and 12.2.1.3.0 contain an easily exploitable vulnerability that allows unauthenticated attackers with network access via HTTP to compromise Oracle WebLogic Server.

Oracle Business Intelligence Publisher is vulnerable to an XML external entity injection attack. The supported versions affected are 11.1.1.9.0, 12.2.1.3.0 and 12.2.1.4.0. This easily exploitable vulnerability allows unauthenticated attackers with network access via HTTP to compromise BI Publisher.

Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0 is susceptible to remote code execution. An attacker can execute malware, obtain sensitive information, modify data, and/or gain full control over a compromised machine without entering necessary credentials. See also CVE-2020-14882, which is addressed in the October 2020 Critical Patch Update.

Oracle Business Intelligence Enterprise Edition 5.5.0.0.0, 12.2.1.3.0, and 12.2.1.4.0 are vulnerable to local file inclusion vulnerabilities via "getPreviewImage."

Oracle WebLogic Server contains an easily exploitable remote command execution vulnerability which allows unauthenticated attackers with network access via HTTP to compromise the server.

The Oracle Fusion Middleware WebLogic Server admin console in versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0 is vulnerable to an easily exploitable vulnerability that allows high privileged attackers with network access via HTTP to compromise Oracle WebLogic Server.

Oracle WebLogic Server (Oracle Fusion Middleware (component: WLS Core Components) is susceptible to a remote code execution vulnerability. Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 2.2.1.3.0 and 12.2.1.4.0. This easily exploitable vulnerability could allow unauthenticated attackers with network access via IIOP to compromise Oracle WebLogic Server.

Oracle iPlanet Web Server 7.0.x has incorrect access control for admingui/version URIs in the Administration console, as demonstrated by unauthenticated read access to encryption keys. NOTE a related support policy can be found in the www.oracle.com references attached to this CVE.

The Oracle Access Manager portion of Oracle Fusion Middleware (component: OpenSSO Agent) is vulnerable to remote code execution. Supported versions that are affected are 11.1.2.3.0, 12.2.1.3.0 and 12.2.1.4.0. This is an easily exploitable vulnerability that allows unauthenticated attackers with network access via HTTP to compromise Oracle Access Manager.

An easily exploitable local file inclusion vulnerability allows unauthenticated attackers with network access via HTTP to compromise Oracle WebLogic Server. Supported versions that are affected are 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0. Successful attacks of this vulnerability can result in unauthorized and sometimes complete access to critical data.

Oracle E-Business Suite (component: Manage Proxies) 12.1 and 12.2 are susceptible to an easily exploitable vulnerability that allows an unauthenticated attacker with network access via HTTP to compromise it by self-registering for an account. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle E-Business Suite accessible data.

Oracle E-Business Suite 12.2.3 through 12.2.11 is susceptible to remote code execution via the Oracle Web Applications Desktop Integrator product, Upload component. An attacker with HTTP network access can execute malware, obtain sensitive information, modify data, and/or gain full control over a compromised system without entering necessary credentials.

Vulnerability in the PeopleSoft Enterprise PeopleTools product of Oracle PeopleSoft (component- Portal). Supported versions that are affected are 8.59 and 8.60. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise PeopleSoft Enterprise PeopleTools. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all PeopleSoft Enterprise PeopleTools accessible data.

Vulnerability in the Oracle Retail Xstore Office product of Oracle Retail Applications (component: Security). Supported versions that are affected are 19.0.5, 20.0.3, 20.0.4, 22.0.0 and 23.0.1. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Retail Xstore Office. While the vulnerability is in Oracle Retail Xstore Office, attacks may significantly impact additional products (scope change).

Unspecified vulnerability in the Oracle WebLogic Server component in Oracle Fusion Middleware 10.3.6.0, 12.1.3.0, and 12.2.1.0 allows remote attackers to affect confidentiality, integrity, and availability via vectors related to WLS Core Components, a different vulnerability than CVE-2016-3586.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services) versions 10.3.6.0, 12.1.3.0, 12.2.1.2 and 12.2.1.3 contains an easily exploitable vulnerability that allows unauthenticated attackers with network access via T3 to compromise Oracle WebLogic Server.

The Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services) versions 10.3.6.0, 12.1.3.0, 12.2.1.2 and 12.2.1.3 contain an easily exploitable vulnerability that allows unauthenticated attackers with network access via T3 to compromise Oracle WebLogic Server.

PeopleTools存在任意文件读取漏洞，攻击者可以根据该漏洞读取文件，获取大量敏感信息。

Oracle E-Business Suite存在远程代码执行漏洞的漏洞，未经过身份认证的远程攻击者可通过该漏洞执行任意代码，最终可导致攻击者获取远程服务器上系统权限。 影响版本： 12.2.3<=Oracle E-Business Suite<=12.2.14

Oracle PeopleSoft是一款功能强大的企业级应用软件，主要用于支持企业的核心业务流程，包括人力资源管理、财务管理、供应链管理、客户关系管理等多个领域，该产品OraclePeopleSoft HttpListeningConnector接口存在XXE漏洞，攻击者可以有效对系统业务进行信息探索

Oracle PeopleSoft是一款功能强大的企业级应用软件，主要用于支持企业的核心业务流程，包括人力资源管理、财务管理、供应链管理、客户关系管理等多个领域，该产品OraclePeopleSoft services 接口存在远程命令执行漏洞，攻击者可以有效对系统进行权限获取

Oracle PeopleSoft是一款功能强大的企业级应用软件，主要用于支持企业的核心业务流程，包括人力资源管理、财务管理、供应链管理、客户关系管理等多个领域，该产品OraclePeopleSoft PeopleSoftServiceListeningConnector接口存在XXE漏洞，攻击者可以有效对系统业务进行信息探索

Oracle WebLogic Server 未授权 拒绝服务漏洞

Oracle WebLogic Server 未授权 代码注入漏洞

Oracle WebLogic Server 未授权 输入验证不当漏洞 可导致敏感信息泄露

Oracle WebLogic Server 未授权 拒绝服务漏洞

Oracle WebLogic Server 未授权 拒绝服务漏洞

Oracle E-Business Suite 是一套全面集成的商业应用软件，使组织能够更有效地管理其财务、采购、项目和供应链运营。该套件设计灵活，能够适应不同行业的独特需求，提供包括财务管理、项目管理、客户关系管理（CRM）和人力资本管理（HCM）在内的广泛功能。它通过多语言和多货币能力支持全球业务需求，同时提供强大的安全特性以保护敏感数据。Oracle E-Business Suite 通过简化业务流程、提高运营效率以及通过高级分析和报告工具促进更好的决策制定。借助这一强大解决方案，企业可以在日益复杂的市场环境中实现更大的灵活性、可扩展性和合规性。

Oracle WebLogic存在远程代码执行漏洞，该漏洞是由于应用对用户发送的请求验证不当导致的。

Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0版本和14.1.1.0.0版本存在安全漏洞。攻击者利用该漏洞可以访问关键数据。

Oracle GlassFish Server Open Source Edition是美国甲骨文(Oracle)公司的一套开源版本的用于构建Java EE(服务器端Java应用程序)的服务器。Oracle GlassFish Server Open Source Edition4.1版本中存在任意文件读取漏洞。攻击者可借助特制的HTTP GET请求利用该漏洞访问敏感数据。

Oracle Business Intelligence Mobile App Designer中存在信息泄露漏洞。该漏洞是由于应用对某些输入参数验证不足导致的。攻击者可利用此漏洞访问系统中的文件。

Oracle WebLogic服务器存在信息泄露漏洞，该漏洞是由于对HTTP头部验证错误造成的。

Oracle Business Intelligence Enterprise Edition 5.5.0.0.0、12.2.1.3.0和12.2.1.4.0版本中存在本地文件包含漏洞，此漏洞是由于在处理用户提供的数据时缺少输入验证。

Oracle Business Intelligence Enterprise Edition 5.5.0.0.0、12.2.1.3.0和12.2.1.4.0版本中存在本地文件包含漏洞，此漏洞是由于在处理用户提供的数据时缺少输入验证。

Oracle WebLogic Server存在远程命令执行漏洞，此漏洞是对输入OpaqueReference接口的数据缺乏校验导致的。

Oracle WebLogic Server 存在远程代码执行漏洞，该漏洞是由于当weblogic 开启T3/IIOP协议时，攻击者可以向协议的监听端口发送恶意数据，进而在服务上执行任意代码，导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。

Oracle Fusion Middleware（Oracle融合中间件）和Oracle WebLogic Server都是美国甲骨文（Oracle）公司的产品。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。 Oracle Fusion Middleware 的 Oracle WebLogic Server 存在安全漏洞。攻击者利用该漏洞可以获取对数据的访问权限。

Oracle Coherence中存在不安全的反序列化漏洞。该漏洞是由于Coherence ExternalizableLite类对反序列化数据验证不当导致的。

Oracle Coherence中存在不安全的反序列化漏洞。该漏洞是由于Coherence ExternalizableLite类对反序列化数据验证不当导致的。

Oracle Business Intelligence存在不安全反序列化漏洞。

Oracle Fusion Middleware 是面向云环境的企业级数字化业务云技术平台。Oracle Business IntelligenceEnterprise Edition 5.5.0.0.0/12.2.1.3.0/D12.2.1.4.0存在目录遍历漏洞

Oracle MySQL中存在远程代码执行漏洞。该漏洞是由于处理GSN_PROCESSINFO_REP信号时，MySQL NDB Cluster组件中存在错误导致的。

Oracle MySQL中存在远程代码执行漏洞。该漏洞是由于处理GSN_CONTINUEB信号时，MySQL NDB Cluster组件中存在错误导致的。

racle E-BusinessSuite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。OracleE-Business Suite 的 Oracle Web Applications Desktop Integrator 12.2.3-12.2.11版本存在安全漏洞。未经身份验证的攻击者通过上传恶意的webshell文件，获取服务器权限。

Oracle MySQL 存在两个缓冲区溢出漏洞，漏洞位于 MySQL NDB Cluster 组件。

Oracle WebLogic存在远程代码执行漏洞，此漏洞是缺乏校验导致的。

Oracle ADF Faces中存在不安全的反序列化漏洞，此漏洞是由于对请求的验证不足造成的。

Oracle ADF Faces中存在不安全的反序列化漏洞，此漏洞是由于对请求的验证不足造成的。

Oracle WebLogic Server 存在JNDI注入漏洞，该漏洞是由于 CVE-2023-21839 漏洞未修补完全，未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0 版本和 14.1.1.0.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0 版本和 14.1.1.0.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0 版本和 14.1.1.0.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0 版本和 14.1.1.0.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0 版本和 14.1.1.0.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.3.0 版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。

Oracle GlassFish Server Open Source Edition4.1容易受到已验证和未验证本地文件包含漏洞的攻击，可以通过发出特别制作的HTTP GET请求来利用这些漏洞

Oracle GlassFish Server Open Source Edition 3.0.1 (build 22)易受本地文件包含漏洞的影响，这使得在服务器上包含任意文件成为可能，无需任何事先身份验证即可利用此漏洞。

Oracle E-Business Suite以一套整合的技术为您提供市场领先的 Oracle 数据库和应用服务器产品。通过与 OracleEnterprise Manager 10g Grid Control 等 Oracle 基础架构管理工具相集成，Oracle E-Business Suite提供企业级的可伸缩性、性能和高可用性，可为任何规模的企业降低总拥有成本。其bscpgraph.jsp存在文件读取漏洞, 攻击者通过漏洞可以读取服务器上的文件

Oracle电子商务套件（组件：管理代理）中存在漏洞。受影响的支持版本为12.1和12.2。易受攻击的漏洞允许未经身份验证的攻击者通过HTTP进行网络访问，从而危害Oracle电子商务套件。成功攻击此漏洞可能导致未经授权访问关键数据或完全访问所有Oracle电子商务套件可访问的数据。注意：成功的攻击需要身份验证，但用户可能是自行注册的。

Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：控制台）中存在漏洞。受影响的受支持版本为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。易于利用的漏洞允许通过 HTTP 进行网络访问的高权限攻击者破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 7.2（机密性、完整性和可用性影响）。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：核心组件）中存在漏洞。受影响的受支持版本是 12.1.3.0.0。易于利用的漏洞允许未经身份验证的攻击者通过 IIOP、T3 进行网络访问来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 9.8（机密性、完整性和可用性影响）。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：核心组件）中存在漏洞。受影响的受支持版本是 12.1.3.0.0。易于利用的漏洞允许未经身份验证的攻击者通过 IIOP、T3 进行网络访问来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 9.8（机密性、完整性和可用性影响）。

Oracle Fusion Middleware（组件：Web 服务）的 Oracle WebLogic Server 产品中存在漏洞。受影响的受支持版本为 10.3.6.0.0 和 12.1.3.0.0。易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问来危害 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 9.8（机密性、完整性和可用性影响）。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：核心组件）中存在漏洞。受影响的受支持版本为 10.3.6.0.0、12.1.3.0.0 和 12.2.1.3.0。易于利用的漏洞允许未经身份验证的攻击者通过 IIOP、T3 进行网络访问来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 9.8。

Oracle官方在1月补丁中修复了CVE-2020-2555漏洞，该漏洞位于OracleCoherence组件中。该组件是业内领先的用于解决集群应用程序数据的缓存的解决方案，其默认集成在Weblogic12c及以上版本中。该漏洞提出了一条新的反序列化gadget，未经身份验证的攻击者通过精心构造的T3请求触发可以反序列化gadget，最终造成远程命令执行的效果。

【漏洞对象】Oracle数据库【涉及版本】版本无关【漏洞描述】Oracle存在默认的sid，或者sid容易被猜解。

Oracle FusionMiddleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogicServer是其中的一个适用于云环境和传统环境的应用服务器组件。</br> Oracle Fusion Middleware中的WebLogicServer组件10.3.6.0.0版本和12.1.3.0.0版本的WebServices子组件存在安全漏洞。攻击者可利用该漏洞控制组件，影响数据的完整性、可用性和保密性。

Oracle FusionMiddleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogicServer是其中的一个适用于云环境和传统环境的应用服务器组件。</br> Oracle Fusion Middleware中的WebLogicServer组件10.3.6.0.0版本和12.1.3.0.0版本的WebServices子组件存在安全漏洞。攻击者可利用该漏洞控制组件，影响数据的完整性、可用性和保密性。

【漏洞对象】Oracle BI Publisher 【漏洞描述】 黑客可以直接执行SQL语句，从而控制整个服务器：获取数据、修改数据、删除数据等。

【漏洞对象】Oracle E-Business Suite 【漏洞描述】 Oracle E-Business Suite以一套整合的技术为您提供市场领先的Oracle 数据库和应用服务器产品。通过与 Oracle Enterprise Manager 10g Grid Control 等 Oracle基础架构管理工具相集成，Oracle E-Business Suite提供企业级的可伸缩性、性能和高可用性，可为任何规模的企业降低总拥有成本。其/OA_HTML/cabo/jsps/a.jsp页面的redirected参数可以输入任意域名，实现任意url跳转。

【漏洞对象】Oracle EBusiness 【涉及版本】Oracle EBusiness某版本 【漏洞描述】 OracleEBusiness某版本文件遍历读取漏洞，可读取敏感信息。

【漏洞对象】Oracle Advanced Support系统 【涉及版本】Oracle Advanced Support系统 【漏洞描述】 OracleAdvanced Support系统存在SQL注入漏洞，可获得数据库相关信息。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：控制台）中存在漏洞。受影响的受支持版本为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。易于利用的漏洞允许通过 HTTP 进行网络访问的高权限攻击者破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 7.2（机密性、完整性和可用性影响）。

Oracle Fusion Middleware 的 Oracle WebLogic Server 产品（组件：控制台）中存在漏洞。受影响的受支持版本为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问来危害 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。 CVSS 3.1 基本分数 9.8（机密性、完整性和可用性影响）。

Oracle Fusion Middleware（组件：Core）的 Oracle WebLogic Server 产品中存在漏洞。受影响的受支持版本为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0 和 12.2.1.4.0。易于利用的漏洞允许未经身份验证的攻击者通过 IIOP、T3 进行网络访问来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。CVSS 3.0 基本分数 9.8。

Oracle Fusion Middleware中的WebLogic Server的Core组件存在安全漏洞。攻击者可利用该漏洞控制WebLogic Server，影响数据的可用性、保密性和完整性。以下产品及版本受到影响：WebLogic Server 10.3.6.0.0版本，12.1.3.0.0版本，12.2.1.3.0版本，12.2.1.4.0版本。

CVE-2019-2891中，未经授权的攻击者可以通过精心构造的HTTP请求向Console组件发起请求，从而接管WebLogic服务器。CVE-2019-2890中，未经授权的攻击者则通过构造T3协议请求，绕过WebLoig的反序列化黑名单，从而接管WebLogic服务器。

Oracle Fusion Middleware中的WebLogic Server组件12.1.3.0版本和12.2.1.3版本的WLS - Web Services子组件存在安全漏洞。攻击者可利用该漏洞未授权访问数据，影响数据的保密性。

WebLogic是美国Oracle公司出品的一个application server，是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

Oracle融合中间件OracleWeb逻辑服务器组件中的漏洞(子组件：WLS核心组件)。 受影响的支持版本为12.2.1.3。 易于开发的漏洞允许未经身份验证的攻击者通过T3进行网络访问，以损害OracleWeb逻辑服务器。 此漏洞的成功攻击可能导致接管OracleWeb逻辑服务器。 CVSS3.0基础评分9.8（保密性、完整性和可用性影响）。 CVSS矢量：(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

Oracle融合中间件OracleWeb逻辑服务器组件中的漏洞(子组件：WLS核心组件)。 受影响的支持版本为10.3.6.0、12.1.3.0和12.2.1.3。 易于开发的漏洞允许未经身份验证的攻击者通过T3进行网络访问，以损害OracleWeb逻辑服务器。 此漏洞的成功攻击可能导致接管OracleWeb逻辑服务器。 CVSS3.0基础评分9.8（保密性、完整性和可用性影响）。 CVSS矢量：(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

Oracle Fusion Middleware 的 Oracle WebLogic Server 组件（子组件：JNDI）中存在漏洞。受影响的受支持版本为 10.3.6.0 和 12.1.3.0。易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问来危害 Oracle WebLogic Server。虽然该漏洞存在于 Oracle WebLogic Server 中，但攻击可能会严重影响其他产品。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。CVSS 3.0 基本分数 10.0。

Oracle PeopleSoft Products是美国甲骨文（Oracle）公司的一套企业人力资本管理解决方案，它提供了人力资本管理、财务管理、供应商关系管理等功能。PeopleSoft Enterprise PeopleTools是其中的一个能够转变企业管理、PeopleSoft软件的使用以及维护方式的工具和技术平台组件。 Oracle PeopleSoft Products中的PeopleSoft Enterprise PeopleTools组件的Integration Broker子组件存在安全漏洞。攻击者可利用该漏洞未授权读取数据，造成拒绝服务，影响数据的可用性。以下版本受到影响：Oracle PeopleSoft Enterprise PeopleTools 12.1.1版本，12.1.2版本，12.1.3版本，12.2.3版本，12.2.4版本，12.2.5版本，12.2.6版本。

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。 Oracle MySQL中存在远程代码执行漏洞。攻击者可利用该漏洞以root权限执行任意代码。

Oracle MySQL Server是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。 Oracle MySQL 5.6.17及之前版本的MySQL Server组件中的SRFTS子组件存在安全漏洞。远程攻击者可利用该漏洞执行任意代码，影响数据的保密性，完整性及可用性。