更新時間:2026/02/13 15:39:50
發佈時間:2026/02/13 15:39:50
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2][3]
Oracle於2026年1月發布的安全性更新(Critical Patch Update)中修補多項安全漏洞,其中CVE-2026-21962及CVE-2026-21969屬重大風險等級,說明如下:
1. CVE-2026-21962:Oracle HTTP Server及WebLogic Server Proxy Plug-in存取控制繞過漏洞
該漏洞存在於Oracle HTTP Server及WebLogic Server Proxy Plug-in,源於產品對傳入HTTP請求的處理機制不當,使未經身分驗證的攻擊者得以透過特製請求,直接存取後端WebLogic伺服器,進而造成未經授權的資料建立、刪除、修改或存取。
2. CVE-2026-21969:Oracle Agile Product Lifecycle Management for Process Supplier Portal認證繞過漏洞
該漏洞存在於Oracle Supply Chain產品的Oracle Agile Product Lifecycle Management for Process(Supplier Portal元件),未經身分驗證的攻擊者於具備HTTP網路存取條件下得以發送特製請求繞過認證機制,成功利用後可取得該系統的控制權。
二、已揭露攻擊活動/漏洞偵測掃描說明
1. 外部資安研究人員已公開針對CVE-2026-21962的漏洞偵測掃描工具,可用於識別對外暴露的Proxy設定。[4]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-21962、CVE-2026-21969
描述:
使用版本:CVSS 3.1
分析分數:10.0、9.8
參考來源: Oracle
▶ 影響平台
⌵
影響平台-系統:
1. CVE-2026-21962:影響Oracle HTTP Server及Oracle WebLogic Server Proxy Plug-in(Apache版本12.2.1.4.0、14.1.1.0.0、14.1.2.0.0;IIS版本僅12.2.1.4.0),建議套用Oracle January 2026 Critical Patch Update(CPU)修補程式。
2. CVE-2026-21969:影響Oracle Agile Product Lifecycle Management for Process 6.2.4.0.0版本,建議套用Oracle January 2026 Critical Patch Update(CPU)修補程式。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.oracle.com/security-alerts/cpujan2026.html | Oracle |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2026-21962 | NVD(CVE-2026-21962) |
| 3 | https://nvd.nist.gov/vuln/detail/CVE-2026-21969 | NVD(CVE-2026-21969) |
| 4 | https://github.com/gglessner/cve_2026_21962_scanner | GitHub(CVE-2026-21962) |
情資編號:
FISAC-200-202602-0008
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞