（修复方案）CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞

1. 升级版本修复

该漏洞影响组件为 Oracle Web Applications Desktop Integrator（12.2.3 – 12.2.11）

升级到 12.2.12 及以上版本可修复此漏洞

可参考此文档：https://www.quorumcyber.com/threat-intelligence/exploitation-of-critical-vulnerability-in-oracle-e-business-suite/?utm_source=chatgpt.com

2. 缓解措施，在不影响使用的情况下，拦截漏洞存在的接口（/OA_HTML/BneViewerXMLService）

例如，可在 Nginx 中可添加如下 location 配置：

location ~* /OA_HTML/BneViewerXMLService{if($query_string~*"bne:uueupload=TRUE"){return403;}}

或者使用 Apache + mod_rewrite，在.htaccess或主配置文件中加入：

RewriteEngine On RewriteCond %{REQUEST_URI}^/OA_HTML/BneViewerXMLService$ RewriteCond %{QUERY_STRING}bne:uueupload=TRUE[NC]RewriteRule .* -[F]