10月21日，金山云安全应急响应中心监测到Oracle官方发布安全补丁更新，修复了包括WebLogic console 远程代码执行漏洞（CVE-2020-14882）在内的多个高危漏洞。29日，金山云安全应急响应中心监测到漏洞CVE-2020-14882的安全补丁可被绕过。11月2日，针对该绕过漏洞，Oracle官方发布新补丁，编号为CVE-2020-14750。

相关用户可通过更新安全补丁或采取暂缓措施，避免遭受恶意攻击。

风险等级

严重

漏洞描述

WebLogic Console HTTP远程代码执行漏洞（CVE-2020-14882）的安全补丁可被绕过。远程攻击者通过构造特殊HTTP 请求，在未经身份验证的情况下接管服务器，风险极大。现在官方已发布新补丁修复了该绕过漏洞，编号为CVE-2020-14750。

影响版本

WebLogic多个版本：

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

修复建议

1. 更新WebLogic相关安全补丁；

2. 可采取暂缓措施：关闭后台/console/console.portal对外访问或若业务环境允许，使用白名单限制相关web项目的访问来降低风险。

参考链接

[1] https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

北京金山云网络技术有限公司

2020/11/03