近日，Oracle官方发布了2021年4月安全更新公告，涉及HTTP、IIOP远程代码执行漏洞等多个高危漏洞，攻击者利用漏洞，可在目标服务器上执行任意代码或获取敏感数据等。

一、漏洞情况

（一）CVE-2021-2135、CVE-2021-2136（远程代码执行高危漏洞）：未经身份验证的攻击者发送恶意构造的T3或IIOP协议请求，可在目标服务器上执行任意代码，获取服务器权限。

（二）CVE-2021-2157（未授权访问高危漏洞）：未经身份验证的攻击者可利用该漏洞访问服务器敏感数据。

（三）CVE-2021-2211（外部实体注入高危漏洞）：未经身份验证的攻击者可利用该漏洞读取服务器敏感信息，造成敏感信息泄露。

二、影响范围

（一）CVE-2021-2135、CVE-2021-2136：WebLogic Server 12.1.3.0.0、12.2.1.3.0版本、12.2.1.4.0版本、14.1.1.0.0版本产品。

（二）CVE-2021-2157：WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0版本产品。

（三）CVE-2021-2211: WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.4.0、14.1.1.0.0版本产品。

三、处置建议

以上漏洞利用难度低，威胁风险大，请广大用户尽快开展自查，参照Oracle官方发布的升级补丁及时修复漏洞。