CVE-2020-14756 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Oracle Fusion Middleware 中 Oracle Coherence 组件存在**授权问题**。 💥 **后果**：攻击者无需身份验证，即可通过 T3/IIOP 协议远程执行代码，彻底破坏系统安全。

🔍 **缺陷点**：**授权逻辑缺失/绕过**。 📉 **CWE**：数据未提供具体 CWE ID，但核心在于**未经身份验证的访问控制失效**。

🏢 **厂商**：Oracle Corporation。 📦 **组件**：Oracle Coherence -- Core Components。 📌 **版本**：3. **（具体小版本需结合官方补丁确认，但数据指出受影响）**。

👑 **权限**：**完全控制**。 📂 **数据**：可读取、修改、删除任意数据。 ⚡ **能力**：远程代码执行 (RCE)，服务器沦陷。

📉 **门槛**：**极低**。 🔓 **认证**：**无需身份验证** (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

🧪 **有 Exp**：是。 🔗 **PoC**：GitHub 上有现成利用代码 (如 Y4er/CVE-2020-14756)。 🛠️ **原理**：利用 coherence.jar 中的 ExternalizableHelper.class 实现 RCE。 ✅ **测试环境**：12.2.1.4.0 + JDK 1.8.0_221。

🔍 **自查**： 1. 检查是否运行 **Oracle Fusion Middleware**。 2. 确认是否启用 **T3 或 IIOP** 协议。 3. 扫描端口是否开放且无认证保护。 4. 使用已知 PoC 进行无害化探测。

🛡️ **官方修复**：已发布。 📅 **补丁时间**：参考 2021年1月和2022年1月的安全公告 (CPU Jan 2021/2022)。 📝 **行动**：立即升级至最新安全版本。

🚧 **临时规避**： 1. **禁用 T3/IIOP 协议**（如果业务不需要）。 2. 配置防火墙，**限制访问** Coherence 端口。 3. 强制实施**身份验证**（如果架构允许）。

🔥 **优先级**：**极高 (Critical)**。 📊 **CVSS**：9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 ⚠️ **建议**：立即修补！无需认证即可 RCE，风险极大。