↑ 点击上方“SecMind安全管家”关注我们 

 情报编号：W1120200715

漏洞概述

 WebLogic是Oracle公司出品的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，全球使用广泛。WebLogic的远程方法调用RMI通信使用T3协议，而T3协议与HTTP协议复用7001端口，默认同时开启，即可被利用，由于漏洞利用复杂度低，风险高，建议尽快修复。

漏洞危害

7月15日，上海豌豆威胁情报平台监测到Oracle官方发布WebLogic安全更新，其中修复了一个CVSS评分为9.8的严重漏洞(CVE-2020-14645)。该漏洞通过T3协议进行利用，攻击者可以实现远程代码执行，进而控制服务器。

影响范围

Oracle WebLogic Server 12.2.1.4

修复方案(1) 安装官方补丁。https://www.oracle.com/security-alerts/cpujul2020.html(2) 限制T3访问来源。漏洞产生于WebLogic默认启用的T3协议，因此可通过限制T3访问来源来阻止攻击。关于我们

上海豌豆信息技术有限公司为企业提供优质的安全服务，更多资讯请关注官方微信公众号 ：