【风险公告】WebLogic XXE缝隙
2021-01-04 00:00:00
1月4日�,�,234钱包安全应急响应中心监测到Oracle WebLogic Server存在 XXE缝隙�。�。�。该缝隙影响宽泛且�:�:�:洗�,�,官方暂未颁布修复补丁�,�,建议受影响的用户尽快采取暂缓措施�,�,预防遭逢恶意攻击�。�。�。
风险等级
高危
缝隙描述
WebLogic Server存在XXE缝隙�,�,攻击者能够在未授权情况下对指标系统提议XML外部实体注入攻击�。�。�。成功触发该缝隙必要指标开启T3或IIOP和谈�,�,指标接管到攻击者恶意机关的数据进行反序列化�,�,触发loadxml�,�,服务器远程加载恶意dtd文件并解析�,�,造成XML外部实体注入�,�,且成功利用必要指标出网�。�。�。
影响版本
WebLogic多个版本�:�:�:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
修复建议
1. 若业务环境允许�,�,使用白名单限度有关web项主张接见来降低风险�。�。�。
2. 禁用T3�、�、IIOP和谈�;;�;
参考链接
[1] https://mp.weixin.qq.com/s/o4Lky3aD74CChDuCxw3ZJA
北京234钱包网络技术有限公司
2021/01/04