转载

CNCERT:CVE-2018-2894 WebLogic远程上传漏洞说明

CVE-2018-2894WebLogic远程上传漏洞说明

CNCERT持续对广泛使用的知名开源软件和商业软件进行安全缺陷分析和漏洞检测。前期发现 Oracle 公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,并得到了厂商的确认,危害程度评分高达9.8分。鉴于近期厂商已进行了安全修复,现对漏洞情况进行简单说明。

0x00 漏洞背景

WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。

0x01 影响范围

Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。

0x02 漏洞详情链接

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW

建议相关受影响厂商和组织及时更新产品版本,安装安全补丁。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

原文  https://www.secrss.com/articles/4008
正文到此结束
Loading...