漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞

一、前言Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。WebLogic中默认包含的wls-wast 与wls9_async_response war包，由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML数据，远程恶意攻击者可以通过发送精心构造的HTTP请求，在未授权的情况下远程执行命令，获得目标服务器的权限。也就是说，攻击者能够直接获取服务器系统权限，进行数据窃取，进而甚至会威胁受害者的内网安全。Weblogic因为XMLDecoder反序列化不安全数据导致的漏洞目前有三个，第一个是CVE-2017-3506 ，第二个是CVE-2017-10271。这两 ………………………………