Oracle官方发布季度补丁,修复了Oracle WebLogic Server的CVE-2018-2893远程代码执行漏洞,该漏洞是对CVE-2018-2628的绕过。攻击者可未认证情况下攻击WebLogic,PoC已公开,建议用户及时评估升级。漏洞影响WebLogic 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3版本。PoC利用反序列化漏洞实现远程代码执行,补丁尝试通过黑名单防御,但存在绕过方法。
0x00 漏洞描述
7月18日,Oracle官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞CVE-2018-2893,此漏洞是对编号为 CVE-2018-2628 修复的绕过,攻击者同样可以在未身份验证的情况下对WebLogic进行攻击。
目前相关PoC已经公开,建议相关用户尽快进行评估升级。
0x01 漏洞影响面
影响版本:
WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3
0x02 漏洞详情
漏洞概况
WebLogic Server使用T3协议在WebLogic Server和客户端间传输数据和通信,由于WebLogic的T3协议和Web协议使用相同的端口,导致在默认情况下,WebLogic Server T3协议通信和Web端具有相同的访问权限。 易受攻击的WebLogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracle WebLogic Server,造成远程代码执行。
CVE-2018-2628
InboundMsgAbbrev 使用 resolveProxyClass 来处理 rmi 接口类型,但仅仅只是对java.rmi.registry.Registry 进行比较判断,可通过其他rmi接口构造绕过。
protected Class> resolveProxyClass(String[] interfaces) throws IOException,
ClassNotFoundException
{ String[] arr$ = in
最低0.47元/天 解锁文章
扫一扫
5435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
