weblogic就好多了,基于T3协议的反序列化;基于xml解析时候造成的反序列化,还有
ssrf,权限绕过等等
反序列化漏洞
Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序 列化操 作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE 的效果
常见的weblogic漏洞
- #CVE-2016-0638 Weblogic 直接反序列化基于Weblogic t3协议引起远程代码执行的反序列化漏洞 漏洞实为CVE-2015-4852绕过 拜Oracle一直以来的黑名单修复方式所赐
- #CVE-2016-3510 基于Weblogic t3协议引起远程代码执行的反序列化漏洞
- #CVE-2017-3248 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于
Weblogic JRMP反序列化
- #CVE-2018-2628 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于
Weblogic JRMP反序列化
- #CVE-2018-2893 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 实为CVE-2018-2628绕过 同样拜Oracle一直以来的黑名单修复方式所赐 属于Weblogic JRMP反序列化
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
