一、概要

近日，華為云關注到Weblogic未授權命令執(zhí)行漏洞PoC已公開（漏洞編號：CVE-2020-14882/CVE-2020-14883），安全風險升高，請受影響的用戶盡快升級至安全版本。

10月21日，華為云監(jiān)測到Oracle官方發(fā)布了10月份的安全更新，披露了多款旗下產品的安全漏洞， 其中包括5個WebLogic的嚴重漏洞（CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267），未經身份驗證的攻擊者可通過HTTP、IIOP、T3協議發(fā)送構造好的惡意請求實現遠程代碼執(zhí)行，風險較高。

華為云提醒使用Weblogic及Oracle相關產品的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.oracle.com/security-alerts/cpuoct2020.html

本次Oracle季度安全更新修復了402個危害程度不同的安全漏洞，主要涵蓋了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等產品，具體漏洞信息請參考上述官方鏈接。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞說明

（注：以上為部分嚴重漏洞，其他漏洞及詳情請參見官方說明）

四、漏洞影響范圍

Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal等產品

五、漏洞處置

官方已發(fā)布補丁修復程序，需用戶持有正版軟件的許可賬號，登陸https://support.oracle.com后，下載最新補丁。

注：修復漏洞前請將資料備份，并進行充分測試。