文章总结： Oracle2026年1月CPU修复CVE-2026-21962，CVSS10.0，无需认证即可通过HTTP请求完全控制OracleHTTPServer与WebLogicProxy，影响版本12.2.1.4.0/14.1.1.0.0/14.1.2.0.0，可横向波及整个基础设施，管理员需立即打补丁。 综合评分： 92 文章分类： 漏洞预警,WEB安全,安全建设,应急响应,网络安全

Oracle Fusion Middleware 中发现 CVSS 10 缺陷

ZM ZM

暗镜

2026年1月22日 08:00 北京

Oracle 在2026 年伊始便进行了大规模的安全升级，发布了今年的首个关键补丁更新 (CPU)，以应对一系列安全漏洞。其中最主要的漏洞是 Oracle Fusion Middleware 中的一个最高级别漏洞，该漏洞可能允许攻击者在无需任何密码的情况下完全控制受影响的服务器。

该漏洞编号为 CVE-2026-21962，CVSS 评分高达 10.0，实属罕见且令人担忧。它会影响广泛部署的 Oracle HTTP Server 和 WebLogic Server Proxy Plug-in，这两个关键组件用于将 Web 流量连接到后端应用程序。10.0 分通常表示该漏洞易于利用，无需身份验证，且后果极其严重。此漏洞完全符合这些特征。

根据该安全公告，此漏洞“极易被利用”，未经身份验证的攻击者只需通过HTTP网络访问权限即可入侵系统。这意味着黑客无需窃取凭据或诱骗员工点击链接，只需向服务器发送恶意请求即可。

攻击成功的后果不堪设想。该漏洞允许未经授权的人员创建、删除或修改关键数据，实际上等于将控制权拱手让给了攻击者。此外，该安全公告指出漏洞存在“范围变更”，这意味着针对该特定组件的攻击可能会“对其他产品造成重大影响”，从而使安全漏洞蔓延至企业基础设施的其他部分。

运行 Oracle Fusion Middleware 的管理员应立即对其环境进行以下版本审核：

• Oracle HTTP Server & WebLogic Server Proxy Plug-in (Apache): 版本 12.2.1.4.0、14.1.1.0.0 和 14.1.2.0.0。
• WebLogic Server Proxy Plug-in for IIS: 仅限版本 12.2.1.4.0。

这个严重漏洞只是Oracle在2026年1月发布的更新中修复的158个独特的CVE漏洞之一。此次大规模补丁发布包含337个安全更新，涵盖30个不同的产品系列。

虽然像 CVE-2026-21962 这样的严重漏洞只占更新总量的 8%，但高危补丁的数量之多（45.7%）表明，防御者需要保护的攻击面非常广泛。

依赖 Oracle 网络基础设施的组织应立即应用 2026 年 1 月的关键补丁更新，以免此严重漏洞被恶意利用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Oracle Fusion Middleware 中发现 CVSS 10 缺陷》