【漏洞预警】Weblogic最新反序列化远程命令执行漏洞(绕过 CVE-2019-2725 补丁)

一、漏洞描述

4月17日，国家信息安全漏洞共享平台（CNVD）公开了Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814/CVE-2019-2725），由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞可获取服务器权限，实现远程代码执行。官方紧急补丁（CVE-2019-2725）已于4月26日发布。

近日，有消息称CVE-2019-2725的补丁可绕过，网上已流出相关POC，经我团队小伙伴验证，漏洞确实存在，攻击者可通过发送精心构造的恶意HTTP请求，在未授权的情况下远程执行命令。目前官方补丁未发布，漏洞细节未公开，望相关用户及时采取相关措施。

验证截图：

二、受影响版本

·        Oracle WebLogic Server10.3.6.0.0

·        Oracle WebLogic Server12.1.3.0.0

三、修复建议

1.  删除wls9_async_response.war和wls-wsat.war文件及相关文件夹并重启Weblogic服务。具体路径为：

        10.3.*版本：

/Middleware/wlserver_10.3/server/lib/

%DOMAIN_HOME%/servers/AdminServer/tmp/_WL_internal/

%DOMAIN_HOME%/servers/AdminServer/tmp/.internal/

        12.1.3版本：

/Middleware/Oracle_Home/oracle_common/modules/

%DOMAIN_HOME%/servers/AdminServer/tmp/.internal/

%DOMAIN_HOME%/servers/AdminServer/tmp/_WL_internal/

2. 通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。

3. 请密切关注 Oracle 官方补丁通告。

来源：CSPEC 立体防护

【关闭】 【打印】