美国时间2020年10月20日,Oracle发布了2020年10月关键补丁更新,修复了多个评分为9.8的严重漏洞,包括WebLogic未授权访问漏洞(CVE-2020-14882、CVE-2020-14883)。

未经授权的攻击者可以利用这些漏洞发送精心构造的恶意请求获取服务器权限,实现远程代码执行。

漏洞影响范围:
  • WebLogic 12.2.1.3.0
  • WebLogic 12.2.1.4.0
  • WebLogic 14.1.1.0.0
  • WebLogic 10.3.6.0.0
  • WebLogic 12.2.1.3.0

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

安全建议:
  • 使用云防火墙虚拟补丁进行一键防护。
    云防火墙虚拟补丁已支持该漏洞的利用防护,建议您开启对应的虚拟补丁,虚拟补丁编号:10005295。您也可以通过漏洞CVE编码(CVE-2020-14882、CVE-2020-14883)搜索定位到虚拟补丁。具体操作请参见入侵防御开关CVE-2020-14882
  • 其他防御建议:
    • 禁用T3协议。
    • 禁止启用IIOP。
    • 临时关闭后台/console/console.portal对外访问。
    • 升级官方安全补丁。