更新时间:2022-05-12 GMT+08:00
Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
2019年04月17日,华为云应急响应中心检测到国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)发布的Oracle WebLogic wls9-async组件安全公告。Oracle WebLogic wls9-async组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为“高危”。
漏洞编号
CNVD-C-2019-48814
漏洞名称
Oracle WebLogic wls9-async反序列化远程命令执行漏洞
漏洞描述
WebLogic wls9-async组件存在缺陷,通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限,在未授权的情况下远程执行命令。
影响范围
- Oracle WebLogic Server 10.X
- Oracle WebLogic Server 12.1.3
官方解决方案
官方暂未发布针对此漏洞的修复补丁。
防护建议
通过WAF的精准访问防护功能,参考图1和图2分别配置限制访问路径前缀为/_async/和/wls-wsat/的请求,拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。