CVE-2018-2894 WebLogic远程上传漏洞说明
CNCERT持续对广泛使用的知名开源软件和商业软件进行安全缺陷分析和漏洞检测。前期发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,并得到了厂商的确认,危害程度评分高达9.8分。鉴于近期厂商已进行了安全修复,现对漏洞情况进行简单说明。
0x00 漏洞背景
WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。
0x01 影响范围
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
0x02 漏洞详情链接
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW
建议相关受影响厂商和组织及时更新产品版本,安装安全补丁。
声明:本文来自CNCERT风险评估,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。