文档首页/ Web应用防火墙 WAF/ 最佳实践/ Web漏洞防护最佳实践/ Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
更新时间:2024-07-25 GMT+08:00

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle WebLogic wls9-async组件安全公告。Oracle WebLogic wls9-async组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为“高危”

漏洞编号

CNVD-C-2019-48814

漏洞名称

Oracle WebLogic wls9-async反序列化远程命令执行漏洞

漏洞描述

WebLogic wls9-async组件存在缺陷,通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限,在未授权的情况下远程执行命令。

影响范围

  • Oracle WebLogic Server 10.X
  • Oracle WebLogic Server 12.1.3

官方解决方案

官方暂未发布针对此漏洞的修复补丁。

防护建议

通过WAF的精准访问防护功能,参考图1图2分别配置限制访问路径前缀为/_async/和/wls-wsat/的请求,拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则

图1 async配置
图2 wls-wsat配置