漏洞描述:
该漏洞源于SесuritуFiltеr对请求URI处理不当攻击者可通过添加参数;.ԝаdl 绕过身份验证,然后利用Grооvу脚本在处理器编译时执行任意代码,从而获取服务器权限
攻击场景:
攻击者可通过构造特定请求(在URI中添加;.和.wadl参数),利用SecurityFilter 对请求路径处理的缺陷绕过身份认证机制,进而触发Groovy脚本在处理器编译阶段执行任意代码,实现服务器权限的完全控制
影响产品:
1、 Oracle Identity Manager 14.1.2.1.0
2、 Oracle Identity Manager 12.2.1.4.0
修复建议:
官方已发布安全补丁,请及时升级至最新版本
https://www.oracle.com/security-alerts/cpuoct2025.html