一、漏洞描述

10月21日，Oracle官方发布了多个关于Weblogic的未授权远程代码执行漏洞。本次安全更新涉及广泛，共发布漏洞补丁421个，其中如下有8个安全漏洞影响较大。

CVE-2020-14882:Oracle WebLogic Server安全漏洞

WebLogic Server产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过http协议发送给存在漏洞的WebLogic Server，从而对WebLogic Server进行破坏。成功攻击此漏洞可能会导致Oracle WebLogic Server被攻击者接管。本次漏洞对10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本WebLogic Server造成影响。

CVE-2020-14841/CVE-2020-14859/CVE-2020-14820:Oracle WebLogic Server安全漏洞

WebLogic Server产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过IIOP协议发送给存在漏洞的WebLogic Server，从而对WebLogic Server进行破坏。成功攻击此漏洞可能会导致Oracle WebLogic Server被攻击者接管。本次漏洞对12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本WebLogic Server造成影响。

CVE-2020-14825:Oracle WebLogic Server安全漏洞

WebLogic Server产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者构造恶意数据并通过IIOP T3协议发送给存在漏洞的WebLogic Server，从而对WebLogic Server进行破坏。成功攻击此漏洞可能会导致Oracle WebLogic Server被攻击者接管。本次漏洞对12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本WebLogic Server造成影响。

CVE-2020-14871:Oracle Solaris安全漏洞

Oracle Solaris产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者通过多种协议进行访问，从而危害Oracle Solaris。尽管此漏洞位于Oracle Solaris中，但攻击可能会严重影响其他产品。成功利用此漏洞可能导致Oracle Solaris被攻击者接管。受影响的版本为Oracle Solaris 10以及Oracle Solaris 11。

CVE-2020-1953:Oracle Healthcare Foundation安全漏洞

Oracle Healthcare Foundation产品中存在一处安全漏洞容易利用的漏洞。未经身份验证的攻击者可以通过HTTP发起攻击，从而破坏Oracle Healthcare Foundation。尽管此漏洞位于Oracle Healthcare Foundation中，但攻击可能会严重影响其他产品。成功攻击此漏洞可能导致Oracle Healthcare Foundation被攻击者接管。受影响的版本为7.1.1、7.2.0、7.2.1、7.3.0。

CVE-2020-8174:MySQL Cluster安全漏洞

Oracle MySQL的MySQL Cluster产品中存在一处安全漏洞。该漏洞允许未经身份验证的攻击者通过多种协议发起攻击，从而危害MySQL群集。成功攻击此漏洞可能导致MySQL群集被攻击者接管。受影响的版本为7.3.30以及更低版本，7.4.29以及更高版本，7.5.19以及更高版本，7.6.15以及更高版本、8.0.21以及更高版本。

二、修复建议

目前Oracle官方已经发布了解决此系列漏洞的补丁，建议受影响用户尽快升级补丁

https://www.oracle.com/securityalerts/cpuoct2020traditional.html