一、漏洞概要
漏洞名称 | Oracle WebLogic Server Proxy Plug-in身份认证绕过漏洞(CVE-2026-21962) |
发布时间 | 2026年1月22日 |
组件名称 | WebLogic Server Proxy Plug-in |
影响范围 | Oracle HTTP Server: 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 WebLogic Server Proxy Plug-in for Apache: 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 WebLogic Server Proxy Plug-in for IIS: 12.2.1.4.0 |
漏洞类型 | 绕过认证 |
利用条件 | 1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,无需授权即可绕过身份认证。 <综合评定威胁等级>:高危,能造成身份认证绕过。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
WebLogic Server 代理插件是一个安装在Web服务器(如 Apache、IIS)中的模块,它作为前端网关,将来自客户端的HTTP/HTTPS请求智能地转发并负载均衡到后端的WebLogic Server集群实例,从而实现高可用性、安全隔离和性能扩展。
2.2 漏洞描述
2026年1月22日,深瞳漏洞实验室监测到一则WebLogic Server Proxy Plug-in组件存在绕过认证漏洞的信息,漏洞编号:CVE-2026-21962,漏洞威胁等级:高危。
Oracle WebLogic Server Proxy Plug-in存在身份认证绕过漏洞,插件在解析或转发来自前端Web服务器的请求时,未能正确验证和校验访问者的身份与权限。使得未经身份认证的远程攻击者能够通过精心构造特制的HTTP请求报文,直接获得等同于插件自身的访问权限,从而对插件所能接触到的后端数据和功能进行未经授权的任意操作,最终导致权限提升和关键数据泄露。
三、影响范围
目前受影响的WebLogic Server Proxy Plug-in版本:
Oracle HTTP Server:
12.2.1.4.0、14.1.1.0.0、14.1.2.0.0
WebLogic Server Proxy Plug-in for Apache:
12.2.1.4.0、14.1.1.0.0、14.1.2.0.0
WebLogic Server Proxy Plug-in for IIS:
12.2.1.4.0
官方修复建议
官方已发布补丁修复该漏洞,请及时安装。