【風(fēng)險(xiǎn)通告】WebLogic遠(yuǎn)程代碼執(zhí)行漏洞補(bǔ)丁可被繞過
2020-10-30 00:00:00
近日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到WebLogic Console 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-14882)的安全補(bǔ)丁可以被繞過�,風(fēng)險(xiǎn)極大����。
目前Oracle官方尚未發(fā)布修復(fù)版本,建議廣大用戶及時(shí)采取暫緩措施����,避免被黑客攻擊造成損失。
風(fēng)險(xiǎn)等級
嚴(yán)重
漏洞描述
10月21日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Oracle官方發(fā)布安全補(bǔ)丁更新���,修復(fù)了包括CVE-2020-14882在內(nèi)的多個(gè)高危漏洞����。
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到漏洞CVE-2020-14882的補(bǔ)丁仍可被繞過��。即便此前進(jìn)行了安全補(bǔ)丁更新�����,遠(yuǎn)程攻擊者仍可以構(gòu)造特殊HTTP 請求����,在未經(jīng)身份驗(yàn)證的情況下接管服務(wù)器,風(fēng)險(xiǎn)極大����。
影響版本
WebLogic多個(gè)版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
修復(fù)建議
官方暫未發(fā)布針對該繞過漏洞的修復(fù)版本,可采取暫緩措施:
臨時(shí)關(guān)閉后臺/console/console.portal對外訪問或若業(yè)務(wù)環(huán)境允許��,使用白名單限制相關(guān)web項(xiàng)目的訪問來降低風(fēng)險(xiǎn)��。
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/10/30