首页 >> 网络安全 >>漏洞利用 >> Oracle Access Manager 未经身份验证的攻击者漏洞 CVE-2021-35587
详细内容

Oracle Access Manager 未经身份验证的攻击者漏洞 CVE-2021-35587

时间:2022-03-15        阅读

描述

CVE-2021-35587 的 POC:易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问来破坏 Oracle Access Manager。

由 antx 在 2022-03-14 创建。


细节

Oracle Fusion Middleware(组件:OpenSSO 代理)的 Oracle Access Manager 产品中的漏洞。

易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 访问网络来破坏 Oracle Access Manager。

成功攻击此漏洞可导致 Oracle Access Manager 被接管。


CVE 严重性

攻击复杂性:低

攻击向量:网络

可用性影响:高

机密性影响:高

完整性影响:高

特权要求:无

范围:不变

用户交互:无

版本:3.1

基础分数:9.8

基础严重性:严重


影响

  • 访问管理器

  • 11.1.2.3.0

  • 12.2.1.3.0

  • 12.2.1.4.0


POC

CVE-2021-35587.py


参考

参考源

Oracle Access Manager 预认证远程代码执行 CVE-2020-35587

核心 POC <CVE-2021-35587

技术支持: 建站ABC | 管理登录