发布日期: 2019年 4月 23日
最後更新: 2019年 4月 29日
保安研究员发现于 Oracle WebLogic Server 内 wls9_async 及 wls-wsat 元件中的一个远端执行程式码漏洞。远端攻击者可传送特制的 HTTP 请求从而攻击这个漏洞。
有报告指针对漏洞的概念验证程式码已被公开。用家应立即为受影响的系统安装修补程式,以免增加受到网络攻击的风险。对于在外判平台的系统,系统拥有人应与网站托管服务供应商确认是否已经安装相关的修补程式。
成功攻击这个漏洞可导致在受影响的系统上远端执行程式码。
Oracle 发行了受影响产品的修补程式以应对以上问题。用户可从以下网址下载:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
https://www.hkcert.org/my_url/zh/alert/19042603
https://www.us-cert.gov/ncas/current-activity/2019/04/26/Oracle-Releases-Security-Alert
http://www.cnvd.org.cn/webinfo/show/4999
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93