(1)oracle weblogic t3协议安全漏洞(cnnvd-202001-667、cve-2020-2546),攻击者可以通过t3协议对存在漏洞的weblogic server进行反序列化攻击,成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制weblogic服务器。具体受影响版本如下:
oracle weblogic server 10.3.6.0
oracle weblogic server 12.1.3.0
(2) oracle weblogic wls组件iiop协议安全漏洞(cnnvd-202001-675、cve-2020-2551), 攻击者可以在未授权的情况下通过iiop协议对存在漏洞的weblogic server组件进行反序列化攻击,成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制weblogic服务器。具体受影响版本如下:
oracle weblogic server 10.3.6.0
oracle weblogic server 12.1.3.0
oracle weblogic server 12.2.1.3
oracle weblogic server 12.2.1.4
目前, oracle官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。oracle官方更新链接如下:
https://www.oracle.com/security-alerts/cpujan2020.html
