• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-14882:Weblogic Console HTTP 遠程代碼執行漏洞通告

        時間:2020-11-18

        0x01 漏洞簡述

        2020年10月30日,360CERT監測發現?Oracle?官方的?CVE-2020-14882 Weblogic 代碼執行漏洞?最新補丁可被繞過,該漏洞編號為?CVE-2020-14882?,漏洞等級:?嚴重?,漏洞評分:?9.8?。

        遠程攻擊者可以構造特殊的?HTTP?請求,在未經身份驗證的情況下接管?WebLogic Server Console?,并在?WebLogic Server Console?執行任意代碼。

        對此,360CERT建議廣大用戶及時將?Weblogic?后臺?/console/console.portal?對外的訪問權限暫時關閉。

         

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        嚴重

        影響面

        廣泛
        360CERT評分

        9.8

         

        0x03 漏洞詳情

        CVE-2020-14882: 代碼執行漏洞

        CVE-2020-14882?遠程代碼執行的漏洞補丁存在繞過,在?Weblogic?安裝?Oracle?最新補丁的情況下,遠程攻擊者仍然可以構造特殊的?HTTP?請求,在未經身份驗證的情況下接管WebLogic Server?,并在?WebLogicServer?執行任意代碼。

         

        0x04 影響版本

        Oracle:Weblogic?:

        • 3.6.0.0
        • 1.3.0.0
        • 2.1.3.0
        • 2.1.4.0
        • 1.1.0.0

         

        0x05 修復建議

        臨時修補建議

        暫時對外關閉后臺?/console/console.portal?的訪問權限。

         

        0x06 相關空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現?Weblogic?在?全球?均有廣泛使用,具體分布如下圖所示。

         

        0x07 產品側解決方案

        360城市級網絡安全監測服務

        360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平臺(quake.#),通過資產測繪技術的方式,對該漏洞進行監測??陕撓迪嚓P產品區域負責人或(quake##)獲取對應產品。

         

        0x08 時間線

        2020-10-21?360CERT發布Oracle補丁日通告

        2020-10-29?360CERT發布POC公開通告

        2020-10-30?360CERT發布補丁繞過通告

         

        0x09 參考鏈接

        1. CVE-2020-14882/14883: Weblogic ConSole HTTP 協議代碼執行漏洞POC公開通告

         

        0x0a 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。

        【更新1.0:補丁繞過】CVE-2020-14882: Weblogic Console HTTP 遠程代碼執行漏洞通告

         

        本文由360CERT安全通告原創發布

        出處:?https://www.anquanke.com/post/id/221155

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航