本文详细介绍了Oracle WebLogic的两个严重漏洞,CVE-2020-14882和CVE-2020-14883,这两个漏洞允许未经身份验证的攻击者通过构造特定的HTTP请求执行任意代码或绕过权限限制。影响版本包括10.3.6.0.0至14.1.1.0.0。复现过程包括环境搭建、漏洞利用方法以及修复建议,如安装最新补丁。
0x00简介
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic对比Tomcat
0x01漏洞概述
CVE-2020-14882: 代码执行漏洞
远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console,并在 WebLogic Server Console 执行任意代码。
CVE-2020-14883: 权限绕过漏洞
远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console。
0x02影响版本
Oracle:Weblogic:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
0x03环境搭建
Windows2016+WebLogic12.2.1.4
1.在Oracle官方下载,WebLogic12.2.1.4版本
https://www.oracle.com/middleware/techn
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
