2019年6月16日，金山云安全应急响应中心监控到近期出现Oracle WebLogic反序列化漏洞最新利用代码，并且可以绕过官方最新的安全补丁，在此，金山云安全应急响应中心建议受影响的用户及时根据修复建议进行处置，避免漏洞被利用，造成损失。

漏洞编号:

   CVE-2019-2725绕过

漏洞名称:

   Oracle WebLogic XMLDecoder 反序列化漏洞(CVE-2019-2725绕过)

漏洞危害等级:

   高危

漏洞描述:

   WebLogic中默认包含的wls-wast 与wls9_async_response war包，由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML数据，远程恶意攻击者可以通过发送精心构造的HTTP请求，在未授权的情况下远程执行命令，获得目标服务器的权限。也就是说，攻击者能够直接获取服务器系统权限，进行数据窃取，进而甚至会威胁受害者的内网安全。

影响版本:

   Oracle WebLogic Server 10.x

   Oracle WebLogic Server 12.1.3

修复方案：

  1. 配置访问控制策略

      可通过配置访问控制策略禁止非法用户访问以下路径

      /wls-wsat/*

      /_async/*

  2. 删除不安全文件

      删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹，并重启 Weblogic 服务。具体文件路径如下：

      Oracle WebLogic Server 10.3.x ：

      \Middleware\wlserver_10.3\server\lib\

      %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

      %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

      Oracle WebLogic Server 12.1.3 ：

      \Middleware\Oracle_Home\oracle_common\modules\

      %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

      %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

  3. 升级JDK 版本

      本次漏洞绕过只生效于JDK6, 可升级JDK版本至JDK7及以上。

北京金山云网络技术有限公司

2019/06/16