【漏洞说明】
2020年11月1日,Oracle发布了Weblogic Console 远程代码执行漏洞更新,漏洞编号为CVE-2020-14750。
远程攻击者在未经身份验证的情况下,通过构造特殊的HTTP数据包远程利用Weblogic Console组件的RCE漏洞开展攻击从而接管WebLogic Server Console,并执行任意代码。
该漏洞与CVE-2020-14882有关,这是两周前(2020年10月)重要补丁更新中修复的9.8分的关键WebLogic Server漏洞。
在十月的重要补丁更新发布一周后,攻击者就开始对暴露的和易受攻击的Oracle WebLogicCVE-2020-14882漏洞进行实例扫描。后续出现安全补丁被绕过的利用,现在官方已发布新补丁修复了该绕过漏洞(CVE-2020-14750)。
【威胁等级】
高危
【影响范围】
- WebLogic Server 10.3.6.0.0
- WebLogic Server 12.1.3.0.0
- WebLogic Server 12.2.1.3.0
- WebLogic Server 12.2.1.4.0
- WebLogic Server 14.1.1.0.0
【解决方法】
厂商已发布升级补丁修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
【参考链接】
https://www.oracle.com/security-alerts/alert-cve-2020-14750.htmlhttps://www.bleepingcomputer.com/news/security/oracle-issues-emergen【漏洞说明】
2020年11月1日,Oracle发布了Weblogic Console 远程代码执行漏洞更新,漏洞编号为CVE-2020-14750。
远程攻击者在未经身份验证的情况下,通过构造特殊的HTTP数据包远程利用Weblogic Console组件的RCE漏洞开展攻击从而接管WebLogic Server Console,并执行任意代码。
该漏洞与CVE-2020-14882有关,这是两周前(2020年10月)重要补丁更新中修复的9.8分的关键WebLogic Server漏洞。
在十月的重要补丁更新发布一周后,攻击者就开始对暴露的和易受攻击的Oracle WebLogicCVE-2020-14882漏洞进行实例扫描。后续出现安全补丁被绕过的利用,现在官方已发布新补丁修复了该绕过漏洞(CVE-2020-14750)。
【威胁等级】
高危
【影响范围】
- WebLogic Server 10.3.6.0.0
- WebLogic Server 12.1.3.0.0
- WebLogic Server 12.2.1.3.0
- WebLogic Server 12.2.1.4.0
- WebLogic Server 14.1.1.0.0
【解决方法】
厂商已发布升级补丁修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
【参考链接】
https://www.oracle.com/security-alerts/alert-cve-2020-14750.htmlhttps://www.bleepingcomputer.com/news/security/oracle-issues-emergency-patch-for-critical-weblogic-server-flaw/cy-patch-for-critical-weblogic-server-flaw/