2020年10月30日, Oracle
官方的 CVE-2020-14882 Weblogic 代码执行漏洞
最新补丁可被绕过,该漏洞编号为 CVE-2020-14882
,漏洞等级: 严重
,漏洞评分: 9.8
。
远程攻击者可以构造特殊的 HTTP
请求,在未经身份验证的情况下接管 WebLogic Server Console
,并在 WebLogic Server Console
执行任意代码。
对此,建议广大用户及时将 Weblogic
后台 /console/console.portal
对外的访问权限暂时关闭。
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
360CERT评分 | 9.8 |
CVE-2020-14882
远程代码执行的漏洞补丁存在绕过,在 Weblogic
安装 Oracle
最新补丁的情况下,远程攻击者仍然可以构造特殊的 HTTP
请求,在未经身份验证的情况下接管WebLogic Server
,并在 WebLogic Server
执行任意代码。
Oracle:Weblogic
:
暂时对外关闭后台 /console/console.portal
的访问权限。