文档首页 > > 最佳实践> Web漏洞防护最佳实践> Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

分享
更新时间: 2019/10/21 GMT+08:00

2019年4月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database, CNVD)发布的Oracle WebLogic wls9-async组件安全公告。该组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为“高危”

漏洞编号

CNVD-C-2019-48814

漏洞名称

Oracle WebLogic wls9-async反序列化远程命令执行漏洞

漏洞描述

WebLogic wls9-async组件存在缺陷,通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限,在未授权的情况下远程执行命令。

影响范围

  • Oracle WebLogic Server 10.X
  • Oracle WebLogic Server 12.1.3

官方解决方案

官方暂未发布针对此漏洞的修复补丁。

防护建议

通过华为云WAF的精准访问防护功能,参考图1图2分别配置限制访问路径前缀为/_async/和/wls-wsat/的请求,拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则

图1 async配置
图2 wls-wsat配置
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区