WebLogic中间件任意命令执行漏洞。

file

一、背景简介

Weblogic是一款商用中间件应用服务器产品,可以为应用程序提供运行访问环境。

二、漏洞详情

公开日期:2022-07-29
漏洞编号:暂无
危害等级:高危
漏洞描述:由于没有过滤危险字符,导致攻击者可以对T3/IIOP接口发送恶意内容,执行任意命令。

三、影响版本

未知

四、处置情况

1.暴露在公网的WebLogic应配置对外禁用T3和IIOP,在不影响业务的情况下,T3和IIOP协议应只对内部可信主机段开放;
2.配置禁用方法:

a.配置WebLogic对外部禁用T3协议的具体步骤:

i.登入WebLogic控制台,在对应域设置中选择“安全”-“筛选器”选项卡:
ii.在“连接筛选器”输⼊框中输⼊:weblogic.security.net.ConnectionFilterImpl
在“连接筛选器规则”输入框中输入如下,即配置为仅允许本机使用T3/T3S协议通信,禁用除可信主机以外其他主机使用T3/T3S协议通信。

b.配置WebLogic禁用IIOP协议的具体步骤:
i.登入WebLogic控制台,在对应域设置中选择“环境”-“服务器”,并选中要设置的服务器。然后在对应服务器设置中选择“协议”-“IIOP”选项卡,并取消“启用IIOP”
前面的勾选,保存配置。

3.使用流量检测防护设备,检测T3/IIOP协议数据包中是否出现ForeignOpaqueReference关键词。

五、利用情况

在野利用,不公开POC。

发布者:小站,转转请注明出处:http://blog.gzcity.top/4754.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年8月3日 16:26
下一篇 2022年8月3日 17:22

相关推荐

  • Steps to Building Authentication and Authorization for RESTful APIs

    One of the challenges to building any RESTful API is having a well thought out authentication and authorization strategy. Concerns like authentication, security, and logging are al…

    安全 2022年5月3日
    42160
  • 【Vue学习总结】2. Vue目录结构分析

    接上篇《1.Vue环境搭建、运行第一个项目》 上一篇我们主要讲解了Vue的环境的搭建,本篇我们主要来分析Vue项目的目录结构。 一、Vue项目文件目录详情介绍 下面就是上一篇我们搭建的一个样例工程的完整结构(install后): 其中包括了node_modules、build、config、src、static以及test文件夹,还有index.html的超…

    2022年7月6日
    30810
  • Android版本 (1.0~12.0) 与API Level (SDK版本1~32) 对应表

    什么是 API 级别? API 级别是一个对 Android 平台版本提供的框架 API 修订版进行唯一标识的整数值。 Android 平台提供了一种框架 API,应用可利用它与底层 Android 系统进行交互。 该框架 API 由以下部分组成: 一组核心软件包和类 一组用于声明清单文件的 XML 元素和属性 一组用于声明和访问资源的 XML 元素和属性 …

    Java 2023年6月1日
    25.8K25350
  • eclipse 运行 Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory

    java 运行报异常:Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory(0x0000000794500000, 576716800, 0) failed; error=’Cannot allocate memory’ (errno=12) 原因:因为配…

    2022年7月27日
    437180
  • 微信小程序在Android、iOS、Windows、MacOS的文件存放路径

    一、微信小程序文件存放路径 /data/data/com.tencent.mm/MicroMsg/{{user哈希值}}/appbrand/pkg/ iOS越狱:/User/Containers/Data/Application/{{系统UUID}}/Library/WechatPrivate/{{user哈希值}}/WeApp/LocalCache/rel…

    学习笔记 2022年12月4日
    4.1K680

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

评论列表(872条)