本文共 698 字，大约阅读时间需要 2 分钟。

0x01 产品简介

Oracle E-Business Suite 是美国甲骨文公司（Oracle）开发的一款全面集成式全球业务管理软件平台。该软件为企业提供了多种核心业务功能，包括客户关系管理、财务管理、服务管理等模块，具有较强的综合性和适用性。

0x02 漏洞概述

在 Oracle E-Business Suite 中，Oracle Web Applications Desktop Integrator 模块的 BneViewerXMLService 接口存在一个重要的安全漏洞。该漏洞允许未经身份验证的攻击者通过上传特定的恶意文件（如 webshell 文件）来获取服务器权限，从而对系统造成潜在威胁。

0x03 影响范围

该漏洞影响 Oracle Web Applications Desktop Integrator 12.2.3 至 12.2.11 版本的用户。如果您的系统正在使用这些版本，建议及时采取补救措施以防御潜在的安全威胁。

0x04 复现环境

该漏洞的复现环境主要涉及 Oracle E-Business Suite 的相关组件。攻击者通常会通过特定的 URL 格式（如 /OA_HTML/BneViewerXMLService?bne:uueupload=TRUE）来试图利用该漏洞上传恶意文件。请注意，确保您的系统防护措施完善，以防止类似攻击。

0x05 漏洞复现

为了验证该漏洞，攻击者可以尝试通过 POST 请求向目标 URL 发送特定参数（如 bne:uueupload=TRUE），从而利用该漏洞上传恶意文件。请在实际操作前确保有适当的安全措施和权限控制。