(修复方案)CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞

世界尽头与你2026-02-03 10:20

(修复方案)CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞

  • [1. 升级版本修复](#1. 升级版本修复)
  • [2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)](#2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService))

1. 升级版本修复

该漏洞影响组件为 Oracle Web Applications Desktop Integrator(12.2.3 -- 12.2.11)

升级到 12.2.12 及以上版本可修复此漏洞

可参考此文档:https://www.quorumcyber.com/threat-intelligence/exploitation-of-critical-vulnerability-in-oracle-e-business-suite/?utm_source=chatgpt.com

2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)

例如,可在 Nginx 中可添加如下 location 配置:

bash 复制代码 
location ~* /OA_HTML/BneViewerXMLService {
  if ($query_string ~* "bne:uueupload=TRUE") {
    return 403;
  }
}

或者使用 Apache + mod_rewrite,在 .htaccess 或主配置文件中加入:

bash 复制代码 
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/OA_HTML/BneViewerXMLService$
RewriteCond %{QUERY_STRING} bne:uueupload=TRUE [NC]
RewriteRule .* - [F]
相关推荐
Drifter_yh9 小时前
【黑马点评】Redisson 分布式锁核心原理剖析
java·数据库·redis·分布式·spring·缓存
鸽鸽程序猿9 小时前
【Redis】zset 类型介绍
数据库·redis·缓存
z玉无心9 小时前
Redis
数据库·redis·oracle
予枫的编程笔记9 小时前
【Redis核心原理篇2】Redis 单线程模型:为什么单线程还能这么快?
数据库·redis·缓存
fengxin_rou9 小时前
一文吃透 Redis 压缩列表、listpack 及哈希表扩容与并发查询
数据库·redis·散列表
一只鹿鹿鹿10 小时前
智慧水利一体化建设方案
大数据·运维·开发语言·数据库·物联网
_codemonster10 小时前
数据库字符集编码问题
android·数据库·oracle
xuzhiqiang072413 小时前
MySQL——数据库的操作
数据库·mysql·oracle
德迅云安全-小潘13 小时前
德迅零域(微隔离):破解云时代横向渗透困局的“手术刀”
网络·数据库·安全
敲代码的哈吉蜂13 小时前
高可用集群Keepalived
运维·服务器·网络·数据库
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06全面体验 Grok API 中转站(2025 · Grok 4 系列最新版)07HTML 早已不是标签了,它现在是系统级接口:这 9 个 API 直接干翻常用 JS 库08openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南09如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解10jdk21下载、安装(Windows、Linux、macOS)