【風(fēng)險(xiǎn)通告】WebLogic遠(yuǎn)程代碼執(zhí)行漏洞補(bǔ)丁繞過(guò)漏洞
2020-11-03 00:00:00
10月21日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Oracle官方發(fā)布安全補(bǔ)丁更新,修復(fù)了包括WebLogic console 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-14882)在內(nèi)的多個(gè)高危漏洞�。29日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到漏洞CVE-2020-14882的安全補(bǔ)丁可被繞過(guò)�。11月2日,針對(duì)該繞過(guò)漏洞�����,Oracle官方發(fā)布新補(bǔ)丁�,編號(hào)為CVE-2020-14750。
相關(guān)用戶可通過(guò)更新安全補(bǔ)丁或采取暫緩措施�����,避免遭受惡意攻擊���。
風(fēng)險(xiǎn)等級(jí)
嚴(yán)重
漏洞描述
WebLogic Console HTTP遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-14882)的安全補(bǔ)丁可被繞過(guò)����。遠(yuǎn)程攻擊者通過(guò)構(gòu)造特殊HTTP 請(qǐng)求�����,在未經(jīng)身份驗(yàn)證的情況下接管服務(wù)器�,風(fēng)險(xiǎn)極大。現(xiàn)在官方已發(fā)布新補(bǔ)丁修復(fù)了該繞過(guò)漏洞,編號(hào)為CVE-2020-14750�。
影響版本
WebLogic多個(gè)版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
修復(fù)建議
1. 更新WebLogic相關(guān)安全補(bǔ)丁���;
2. 可采取暫緩措施:關(guān)閉后臺(tái)/console/console.portal對(duì)外訪問(wèn)或若業(yè)務(wù)環(huán)境允許���,使用白名單限制相關(guān)web項(xiàng)目的訪問(wèn)來(lái)降低風(fēng)險(xiǎn)�����。
參考鏈接
[1] https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/03