【漏洞预警】Oracle MySQL JDBC XML外部实体注入漏洞

1. 通告信息

近日，安识科技A-Team团队监测到一则Oracle MySQL组件在JDBC过程中存在XML外部实体注入漏洞的信息，当前官方已发布受影响的补丁。

对此，安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

CVE-2021-2471: Oracle MySQL JDBC XML外部实体注入漏洞

简述：2021年10月21日，安识科技A-Team团队监测到一则Oracle MySQL组件在JDBC过程中存在XML外部实体注入漏洞的信息，漏洞编号：CVE-2021-2471，漏洞威胁等级：高危。

3. 漏洞危害

攻击者可以利用该漏洞获取服务器敏感信息，最终导致信息泄露。

4. 影响版本

Oracle MySQL < 8.0.27

5. 解决方案

当前官方已发布对应安全补丁，建议受影响用户及时更新。参考链接如下：

https://www.oracle.com/security-alerts/cpuoct2021.html

6. 时间轴

【-】2021年10月21日 安识科技A-Team团队监测到Oracle官方发布安全通告。

【-】2021年10月21日 安识科技A-Team团队根据通告信息分析

【-】2021年10月22日 安识科技A-Team团队发布安全通告