【安全通告】WebLogic console 远程代码执行漏洞(CVE-2020-14882)补丁绕过风险通告
摘要:
2020-10-30 10:16:51
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,WebLogic console 远程代码执行漏洞(漏洞编号:CVE-2020-14882)的补丁存在绕过风险,截至本通告发布,Oracle官方暂未发布最新漏洞修复补丁,为避免您的业务受影响,腾讯云安全建议您尽快采取临时缓解方案,避免被外部攻击者入侵。
漏洞详情
Weblogic 是 Oracle 出品的用于构建和部署企业 Java EE 应用程序的中间件,常被企业用户应用于生产环境中。
2020年10月21日,Oracle官方披露了 Weblogic 多个高危漏洞,分别为:CVE-2019-17267,CVE-2020-14882,CVE-2020-14841,CVE-2020-14825,CVE-2020-14859,CVE-2020-14820,CVE-2020-14883,CVE-2020-14757,CVE-2020-11022,CVE-2020-9488。
本次通告标识,在更新了漏洞(CVE-2020-14882)安全补丁的情况下,未授权的攻击者仍然可以对后台登录等限制进行绕过,获取服务器权限执行恶意操作。
风险等级
严重
漏洞风险
CVE-2020-14882的补丁存在绕过风险,未授权攻击者仍可对后台登录等限制进行绕过,获取服务器权限。
影响版本
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
临时缓解方案
如无必要,请关闭受影响后台的对外访问(/console/console.portal)。
漏洞参考