Weblogic高危漏洞

综述

近日,Oracle发布了10月份关键补丁更新,其中修复了Weblogic的2个高危漏洞 CVE-2019-2890,CVE-2019-2891。

参考链接:https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

漏洞概述:

  • CVE-2019-2890

该漏洞允许攻击者在拥有一定权限时通过构造恶意的T3协议请求,从而绕过Weblogic的反序列化黑名单并接管受影响的服务器。

  • CVE-2019-2891

该漏洞允许攻击者在未授权情况下通过构造恶意的HTTP请求并发送给Console组件,从而接管受影响的服务器。

受影响版本:

  • Weblogic server 10.3.6.0.0,
  • Weblogic server 12.1.3.0.0,
  • Weblogic server 12.2.1.3.0

安全建议

Oracle已经发布了补丁修复了上述漏洞,受影响的用户应尽快升级进行防护。

若用户不适用T3协议进行通信,可以禁用T3协议进行临时防护。

参考链接:

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

发表评论

评论已关闭。

相关文章