Oracle 安全警报 - CVE-2020-14750

描述

本安全警报针对 CVE-2020-14750，这是 Oracle WebLogic Server 中的一个远程代码执行漏洞。该漏洞与 CVE-2020-14882 相关，后者已在 2020 年 10 月关键补丁更新中修复。此漏洞无需身份验证即可远程利用，即可以通过网络进行利用，无需用户名和密码。

由于此漏洞的严重性以及各种网站上已公开利用代码，Oracle 强烈建议客户尽快应用此安全警报提供的更新。

受影响产品和补丁信息

此安全警报解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用性文档"列中。 请点击下方"补丁可用性文档"列中的链接以访问补丁可用性信息和安装说明的文档。

受影响产品和版本

安全警报支持的产品和版本

通过安全警报程序发布的补丁仅适用于终身支持政策的 Premier Support 或 Extended Support 阶段覆盖的产品版本。Oracle 建议客户规划产品升级，以确保通过安全警报程序发布的补丁可用于他们当前运行的版本。

未处于 Premier Support 或 Extended Support 下的产品版本不会测试是否存在此安全警报解决的漏洞。但是，受影响版本的早期版本很可能也受这些漏洞影响。因此，Oracle 建议客户升级到受支持的版本。

风险矩阵内容

风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。

安全漏洞使用 CVSS 3.1 版本进行评分。

致谢声明

以下人员或组织向 Oracle 报告了此安全警报解决的安全漏洞：

360QUAKE TEAM: CVE-2020-14750 Bui Dinh Bao aka 0xd0ff9 of Zalo Security Team (VNG Corp): CVE-2020-14750 codeplutos of AntGroup FG Security Lab: CVE-2020-14750 f1v3 jacky: CVE-2020-14750 Hoang Quoc Thinh of RedTeam (VNG Corp): CVE-2020-14750 Huang Xiaopeng of 360CERT at QiHu360: CVE-2020-14750 icez of Tophant Competence Center: CVE-2020-14750 Jacky Xing of Dbappsecurity Team: CVE-2020-14750 Maoxin Lin of Dbappsecurity Team: CVE-2020-14750 mayoterry of Qingteng 73Lab Security Team: CVE-2020-14750 ph4nt0mer: CVE-2020-14750 r00t4dm from A-TEAM of Legendsec at Qi’anxin Group: CVE-2020-14750 Shimizu Kawasaki of Asiainfo-sec of CSS Group: CVE-2020-14750 thiscodecc as tcc: CVE-2020-14750 Tonghua Root: CVE-2020-14750 voidfyoo of Chaitin Security Research Lab: CVE-2020-14750 Xianglai Liu of Dbappsecurity Team: CVE-2020-14750 Yu Wang of BMH Security Team: CVE-2020-14750 Yuxuan Chen: CVE-2020-14750 Zhiyi Zhang from Codesafe Team of Legendsec at Qi’anxin Group: CVE-2020-14750

Oracle Fusion Middleware 风险矩阵

此安全警报包含 1 个针对 Oracle Fusion Middleware 的新安全补丁。此漏洞无需身份验证即可远程利用，即可以通过网络进行利用，无需用户凭据。