CVE-2020-14882：Weblogic Console HTTP 远程代码执行漏洞通告

0x01 漏洞简述

2020年10月30日， Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞 最新补丁可被绕过，该漏洞编号为 CVE-2020-14882 ，漏洞等级： 严重 ，漏洞评分： 9.8 。

远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。

对此，建议广大用户及时将 Weblogic 后台 /console/console.portal 对外的访问权限暂时关闭。

0x02 风险等级

360CERT对该漏洞的评定结果如下

0x03 漏洞详情

CVE-2020-14882: 代码执行漏洞

CVE-2020-14882 远程代码执行的漏洞补丁存在绕过，在 Weblogic 安装 Oracle 最新补丁的情况下，远程攻击者仍然可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管WebLogic Server ，并在 WebLogic Server 执行任意代码。

0x04 影响版本

Oracle:Weblogic :

• 10.3.6.0.0
• 12.1.3.0.0
• 12.2.1.3.0
• 12.2.1.4.0
• 14.1.1.0.0

0x05 修复建议

临时修补建议

暂时对外关闭后台 /console/console.portal 的访问权限。

0x06 参考链接

1. CVE-2020-14882/14883: Weblogic ConSole HTTP 协议代码执行漏洞POC公开通告