近日，我司监测到Oracle发布10月份安全公告，此次更新了370个漏洞安全补丁，包含Oracle Fusion Middleware、Oracle Communications Applications、Oracle E-Business Suite、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Java SE和Oracle MySQL等多个产品和组件。

Oracle公司（甲骨文）是全球最大的信息管理软件及服务供应商。

重要漏洞详情如下：

Oracle Fusion Middleware多个安全漏洞

Oracle此次共发布了56个适用于Oracle Fusion Middleware的安全更新，其中有43个漏洞无需经过身份验证即可远程利用。本次发布的更新涉及多个Oracle WebLogic Server漏洞：CVE-2020-28052、CVE-2022-23437 、CVE-2022-22971、CVE-2020-17521和CVE-2022-22968等，其中CVE-2020-28052的CVSS评分为8.1。

1.CVE-2020-28052认证绕过漏洞

风险等级：高危

漏洞类型：认证绕过

漏洞简介：该漏洞允许未经身份验证的攻击者通过 TLS 访问网络来破坏 Oracle WebLogic Server。成功利用此漏洞可导致 Oracle WebLogic Server 被接管。

Oracle Communications Applications多个安全漏洞

Oracle此次共发布了27个适用于Oracle Communications Applications的安全更新，其中有21个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-23450、CVE-2021-43527、CVE-2022-23632、CVE-2021-3918、CVE-2022-31813、CVE-2022-2068，其CVSS评分为9.8。

1.CVE-2022-23632 Containous Traefik 信任管理问题漏洞

风险等级：高危

漏洞类型：信任管理

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle Communications Messaging Server。成功利用此漏洞可导致 Oracle Communications Messaging Server被接管。

2.CVE-2022-31813 Apache HTTP Server 数据伪造问题漏洞

风险等级：高危

漏洞类型：数据伪造

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Unified Assurance。成功利用此漏洞可导致接管 Oracle Communications Unified Assurance。

3.CVE-2022-2068 OpenSSL 命令注入漏洞

风险等级：高危

漏洞类型：命令注入

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle Communications Unified Assurance。成功利用此漏洞可导致接管 Oracle Communications Unified Assurance。

Oracle E-Business Suite多个安全漏洞

Oracle此次共发布了5个适用于Oracle E-Business Suite的安全更新，其中有4个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-23305、CVE-2022-21587、CVE-2022-39428，其CVSS评分为9.8。CVE-2022-21587【漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Web Applications Desktop Integrator。成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管】；CVE-2022-39428【漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Web Applications Desktop Integrator。成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管。】

1.CVE-2022-23305 Apache Log4j SQL注入漏洞

风险等级：高危

漏洞类型：SQL注入

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle E-Business Suite 的应用程序管理包。成功利用此漏洞可能会导致 Oracle E-Business Suite 的 Application Management Pack 被接管。

Oracle Financial Services Applications多个安全漏洞

Oracle此次共发布了24个适用于Oracle Financial Services Applications的安全更新，其中有16个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-23457，其CVSS评分为9.8。

1.CVE-2022-23457 OWASP ESAPI 路径遍历漏洞

风险等级：高危

漏洞类型：路径遍历

漏洞简介：该漏洞允许通过 HTTP 访问网络的低权限攻击者破坏 Primavera Unifier。成功利用此漏洞可导致 Primavera Unifier 被接管。

Oracle Enterprise Manager多个安全漏洞

Oracle此次共发布了5个适用于Oracle Enterprise Manager的安全更新，其中有4个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2018-1285、CVE-2021-23450，其CVSS评分为9.8。

1.CVE-2021-23450 Dojo 原型污染漏洞

风险等级：高危

漏洞类型：远程代码执行

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Convergence。成功利用此漏洞可导致 Oracle Communications Convergence 被接管。

Oracle Java SE多个安全漏洞

Oracle此次共发布了9个适用于Oracle Java SE的安全更新，其中有9个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-32215，其CVSS评分为9.8。

1.CVE-2022-32215 Node.js 环境问题漏洞

风险等级：高危

漏洞类型：环境问题

漏洞简介：该漏洞允许未经身份验证的攻击者通过 HTTPS 访问网络来破坏 Oracle GraalVM 企业版。成功利用此漏洞可能导致对关键数据或所有 Oracle GraalVM 企业版可访问数据的未授权创建、删除或修改访问，以及对关键数据的未授权访问或对所有 Oracle GraalVM 企业版可访问数据的完全访问。

Oracle MySQL多个安全漏洞

Oracle此次共发布了37个适用于Oracle MySQL的安全更新，其中有11个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2022-32207，其CVSS评分为9.8。

1.CVE-2022-32207 curl 安全漏洞

风险等级：高危

漏洞类型：其他

漏洞简介：该漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 MySQL Enterprise Backup。成功利用此漏洞可导致 MySQL Enterprise Backup 被接管。

修复建议：

官方已经针对漏洞发布了更新，下载地址如下：

• https://www.oracle.com/security-alerts/cpuoct2022.html