【漏洞預警】Oracle MySQL JDBC XML外部實體注入漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則Oracle MySQL組件在JDBC過程中存在XML外部實體注入漏洞的信息，當前官方已發布受影響的補丁。

對此，安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

CVE-2021-2471: Oracle MySQL JDBC XML外部實體注入漏洞

簡述：2021年10月21日，安識科技A-Team團隊監測到一則Oracle MySQL組件在JDBC過程中存在XML外部實體注入漏洞的信息，漏洞編號：CVE-2021-2471，漏洞威脅等級：高危。

3. 漏洞危害

攻擊者可以利用該漏洞獲取服務器敏感信息，最終導致信息泄露。

4. 影響版本

Oracle MySQL < 8.0.27

5. 解決方案

當前官方已發布對應安全補丁，建議受影響用戶及時更新。參考鏈接如下：

https://www.oracle.com/security-alerts/cpuoct2021.html

6. 時間軸

【-】2021年10月21日 安識科技A-Team團隊監測到Oracle官方發布安全通告。

【-】2021年10月21日 安識科技A-Team團隊根據通告信息分析

【-】2021年10月22日 安識科技A-Team團隊發布安全通告