文档首页/ Web应用防火墙 WAF/ 用户指南(巴黎)/ 最佳实践/ Web漏洞防护最佳实践/ Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
更新时间:2023-04-20 GMT+08:00

Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

Oracle WebLogic wls9-async组件在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限,在未授权的情况下远程执行命令,CNVD对该漏洞的综合评级为“高危”

漏洞编号

CNVD-C-2019-48814

漏洞名称

Oracle WebLogic wls9-async反序列化远程命令执行漏洞

漏洞描述

WebLogic wls9-async组件存在缺陷,通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限,在未授权的情况下远程执行命令。

影响范围

  • Oracle WebLogic Server 10.X
  • Oracle WebLogic Server 12.1.3

官方解决方案

官方暂未发布针对此漏洞的修复补丁。

防护建议

通过WAF的精准访问防护功能,参考图1图2分别配置限制访问路径前缀为/_async/和/wls-wsat/的请求,拦截利用该漏洞发起的远程命令执行攻击请求。

图1 async配置
图2 wls-wsat配置