组件介绍

Oracle Access Management 访问管理器（Access Manager）是以前的（独立）产品，名为 Oracle Access Manager。 Access Manager 提供 Oracle Fusion Middleware 单点登录 (SSO) 解决方案。

漏洞描述

近日，深信服安全团队监测到一则Oracle Access Manager组件存在未授权远程代码执行漏洞的信息，漏洞编号：CVE-2021-35587，CVSS评分：9.8分，漏洞威胁等级：严重。

该漏洞是由于Oracle Access Manager未对HTTP请求进行有效的验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行漏洞攻击，最终获取服务器最高权限。

影响范围

Access Manager 提供 Oracle Fusion Middleware 单点登录 (SSO) 解决方案。全球总计30000以上的资产使用了Oracle Fusion Middleware。国内省份主要分布在广西、北京、辽宁等省份。

目前受影响的版本：

Oracle Access Manager 11.1.2.3.0

Oracle Access Manager 12.2.1.3.0

Oracle Access Manager 12.2.1.4.0

官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。