专栏名称: 奇安信CERT
为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
今天看啥  ›  专栏  ›  奇安信CERT

【安全风险通告】WebLogic XXE漏洞安全风险通告

奇安信CERT  · 公众号  ·  · 2021-01-04 14:39
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT收到来自补天漏洞响应平台Oracle WebLogic Server XXE漏洞。Oracle WebLogic Server是基础中间件中的融合中间件服务,攻击者可以在未授权情况下对目标系统发起XML外部实体注入攻击。成功触发该漏洞需要目标开启T3或IIOP协议。鉴于此漏洞影响较大,建议客户尽快采取紧急修复措施。漏洞描述Oracle WebLogic Server 是基础中间件中的融合中间件服务,成功利用该漏洞的攻击者可以在未授权情况下对目标系统发起 XML 外部实体注入攻 击。漏洞成功利用需要目标开启T3或IIOP,目标接收到攻击者恶意构造的数据进行反序列化,触发loadxml,服务器远程加载恶意dtd文件并解析,造成XML外部实体注 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照