【漏洞预警】Oracle WebLogic 远程代码执行漏洞(CVE-2019-2725 补丁绕过)

2019-06-25 09:59:09
尊敬的用户


2019年6月15日,Oracle WebLogic曝出在野0day命令执行漏洞,攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令,风险极大。


【漏洞评级】

严重


【受影响范围】

10.3.6.0.0

12.1.3.0.0


【安全建议】

注:以下任意一种修复方式都有可能造成业务不可用


1.删除wls-wsat.war和bea_wls9_async_response相关组件并重启WebLogic,如:bea_wls9_async_response.war、com.oracle.webservices.wls.bea-wls9-async-response_*.war和wls-wsat.war

2.通过访问控制策略禁止互联网对/_async/*和/wls-wsat/*路径的访问

3.通过京东云安全组禁止WebLogic端口对外或只允许特定安全ip地址访问


我们会关注后续进展,请随时关注官方公告。


京东云团队

2019-06-25 09:59:09