2019年4月18日，阿里云云盾应急响应中心监测到Oracle WebLogic 在野0day命令执行漏洞。黑客利用漏洞可能可以远程获取WebLogic服务器权限，风险极大。

漏洞描述

wls-wsat和bea_wls9_async_response组件处理请求不当，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程代码执行。阿里云云盾应急响应中心已捕获该0day漏洞利用方式，漏洞真实存在且风险极大。目前官方暂未发布补丁，阿里云云盾应急响应中心提醒WebLogic用户尽快使用以下安全修复方案阻止漏洞攻击。

2019年4月28日，Oracle已针对漏洞进行补丁修复：https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

安全修复建议

注：以下任意一种修复方式都有可能造成业务不可用(补丁修复除外)

一、删除wls-wsat.war和bea_wls9_async_response相关组件并重启WebLogic，如：bea_wls9_async_response.war、com.oracle.webservices.wls.bea-wls9-async-response_*.war和wls-wsat.war

二、通过访问控制策略禁止互联网对/_async/*和/wls-wsat/*路径的访问

三、通过阿里云安全组禁止WebLogic端口对外，如下：

四、登陆WebLogic后台升级补丁

漏洞评级

CVE-2019-2725 严重

受影响范围

10.3.6.0.0

12.1.3.0.0

相关链接

https://mp.weixin.qq.com/s/5-mDG2GcFUjEG00KdQgxvQ

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测

云盾云防火墙已可防御此漏洞攻击

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心

2019.4.18