漏洞概述
攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。
IIOP协议以Java接口的形式对远程对象进行访问,默认启用。
影响版本
weblogic 10.3.6
weblogic 12.1.3.0
weblogic 12.2.1.3.0
weblogic 12.2.1.4.0
环境搭建
下载地址
https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html
漏洞复现
访问http://your-ip:7001/console看到页面