(修复方案)CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞
- [1. 升级版本修复](#1. 升级版本修复)
- [2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)](#2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService))
1. 升级版本修复
该漏洞影响组件为 Oracle Web Applications Desktop Integrator(12.2.3 -- 12.2.11)
升级到 12.2.12 及以上版本可修复此漏洞
2. 缓解措施,在不影响使用的情况下,拦截漏洞存在的接口(/OA_HTML/BneViewerXMLService)
例如,可在 Nginx 中可添加如下 location 配置:
bash
location ~* /OA_HTML/BneViewerXMLService {
if ($query_string ~* "bne:uueupload=TRUE") {
return 403;
}
}或者使用 Apache + mod_rewrite,在 .htaccess 或主配置文件中加入:
bash
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/OA_HTML/BneViewerXMLService$
RewriteCond %{QUERY_STRING} bne:uueupload=TRUE [NC]
RewriteRule .* - [F]