北京时间7月18日, Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中针对可造成远程代码执行的高危漏洞 CVE-2018-2894 进行修复。7 月 19 号国家互联网应急中心 CNCERT 发出通告,指出 CVE-2018-2894 本质上为任意文件上传漏洞。
【漏洞说明】
WebLogic管理端未授权的存在任意上传getshell漏洞,可直接获取权限。ws_utc 为 WebLogic Web 服务测试客户端,其配置页面存在未授权访问的问题,路径为 /ws_utc/config.do,攻击者通过利用此漏洞,即可在远程且未经授权的情况下在 WebLogic 服务器上执行任意代码。
【影响范围】
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
以上均为官方支持的版本
【缓解措施】
Oracle官方已经在2018年7月的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
【相关链接】 http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
返回顶部