【風(fēng)險通告】WebLogic XXE漏洞
2021-01-04 00:00:00
1月4日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Oracle WebLogic Server存在 XXE漏洞���。該漏洞影響廣泛且危害較大,官方暫未發(fā)布修復(fù)補丁�,建議受影響的用戶盡快采取暫緩措施,避免遭受惡意攻擊�。
風(fēng)險等級
高危
漏洞描述
WebLogic Server存在XXE漏洞,攻擊者可以在未授權(quán)情況下對目標系統(tǒng)發(fā)起XML外部實體注入攻擊����。成功觸發(fā)該漏洞需要目標開啟T3或IIOP協(xié)議,目標接收到攻擊者惡意構(gòu)造的數(shù)據(jù)進行反序列化�,觸發(fā)loadxml,服務(wù)器遠程加載惡意dtd文件并解析�����,造成XML外部實體注入�����,且成功利用需要目標出網(wǎng)。
影響版本
WebLogic多個版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
修復(fù)建議
1. 若業(yè)務(wù)環(huán)境允許��,使用白名單限制相關(guān)web項目的訪問來降低風(fēng)險�。
2. 禁用T3、IIOP協(xié)議�����;
參考鏈接
[1] https://mp.weixin.qq.com/s/o4Lky3aD74CChDuCxw3ZJA
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/01/04