【风险通告】WebLogic XXE漏洞
发布时间:2021-01-04 00:00:00
1月4日,金山云安全应急响应中心监测到Oracle WebLogic Server存在 XXE漏洞。该漏洞影响广泛且危害较大,官方暂未发布修复补丁,建议受影响的用户尽快采取暂缓措施,避免遭受恶意攻击。
风险等级
高危
漏洞描述
WebLogic Server存在XXE漏洞,攻击者可以在未授权情况下对目标系统发起XML外部实体注入攻击。成功触发该漏洞需要目标开启T3或IIOP协议,目标接收到攻击者恶意构造的数据进行反序列化,触发loadxml,服务器远程加载恶意dtd文件并解析,造成XML外部实体注入,且成功利用需要目标出网。
影响版本
WebLogic多个版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
修复建议
1. 若业务环境允许,使用白名单限制相关web项目的访问来降低风险。
2. 禁用T3、IIOP协议;
参考链接
[1] https://mp.weixin.qq.com/s/o4Lky3aD74CChDuCxw3ZJA
北京金山云网络技术有限公司
2021/01/04
以上就是金山云为您带来的【风险通告】WebLogic XXE漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。