（修复方案）CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞

（修复方案）CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞

• [1. 升级版本修复](#1. 升级版本修复)
• [2. 缓解措施，在不影响使用的情况下，拦截漏洞存在的接口（/OA_HTML/BneViewerXMLService）](#2. 缓解措施，在不影响使用的情况下，拦截漏洞存在的接口（/OA_HTML/BneViewerXMLService）)

1. 升级版本修复

该漏洞影响组件为 Oracle Web Applications Desktop Integrator（12.2.3 -- 12.2.11）

升级到 12.2.12 及以上版本可修复此漏洞

可参考此文档：https://www.quorumcyber.com/threat-intelligence/exploitation-of-critical-vulnerability-in-oracle-e-business-suite/?utm_source=chatgpt.com

2. 缓解措施，在不影响使用的情况下，拦截漏洞存在的接口（/OA_HTML/BneViewerXMLService）

例如，可在 Nginx 中可添加如下 location 配置：

location ~* /OA_HTML/BneViewerXMLService {
  if ($query_string ~* "bne:uueupload=TRUE") {
    return 403;
  }
}

或者使用 Apache + mod_rewrite，在 .htaccess 或主配置文件中加入：

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/OA_HTML/BneViewerXMLService$
RewriteCond %{QUERY_STRING} bne:uueupload=TRUE [NC]
RewriteRule .* - [F]