漏洞描述:
Oracle WebLogic Server 是一款Java EE应用服务器。
受影响版本的WebLogic中WLNamingManager#getObjectInstance()存在JNDI查找逻辑,导致攻击者可以通过IIOP协议传入特定的对象触发反序列化逻辑,执行任意代码。
当传入boundObject对象是LinkRef的实现类时,会调用传入对象 boundObject的getLinkName()方法,并使用lookup()方法对getLinkName() 方法返回的 linkAddrType 地址执行远程 JNDI 加载。
影响范围:
Oracle WebLogic Server(Core)@[12.2.1.0.0, 12.2.1.4.0]
Oracle WebLogic Server(Core)@[14.1.1.0.0, 14.1.1.0.0]
Oracle WebLogic Server(Core)@[12.1.2.0.0, 12.1.3.0.0]
Oracle WebLogic Server(Core)@[10.3.6.0, 10.3.6.0]
修复方案:
官方已发布漏洞补丁:https://www.oracle.com/security-alerts/cpuapr2023.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】WebLogic LinkRef 反序列化远程代码执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论