漏洞描述
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 Oracle WebLogic Server 12.2.1.3.0版本、12.2.1.4.0版本和14.1.1.0.0版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者通过HTTP进行网络访问来破坏Oracle WebLogic Server,攻击者利用该漏洞可能导致频繁重复的崩溃。
漏洞危害
通过专业的安全评估,如果被攻击者利用,可直接getshell;可被用于内网信息收集,扫描目标内网主机;可攻击运行在内网或本地的应用程序;可被用作攻击跳板;
检测工具
修复方法
严格检查参数的数据类型、数值与数据长度; 过滤可能产生命令注入的特殊字符,例如:$、=、'、、||、>、-、>>、等;升级中间件版本;
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-04-19
漏洞信息更新
2024-11-27
