漏洞预警：WebLogic Blind XXE漏洞预警-江南大学信息化建设管理处

网络安全

热点新闻

网络安全

当前位置: 首页 >> 网络安全 >> 正文

漏洞预警：WebLogic Blind XXE漏洞预警

信息化建设与管理中心发布日期：2019-04-18

近日，Oracle 官方发布 4 月份安全补丁, 补丁中包含 WebLogic Blind XXE 漏洞，漏洞编号为 CVE-2019-2647。利用该漏洞，攻击者可以在未授权的情况下将 payload 封装在 T3 协议中，通过对 T3 协议中的 payload 进行反序列化，从而实现对存在漏洞的 WebLogic 组件进行远程 Blind XXE 攻击。

漏洞概述

WebLogic 是美国 Oracle 公司出品的一个 application server，确切的说是一个基于 JAVAEE 架构的中间件，WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

利用该漏洞，攻击者可以在未授权的情况下将 payload 封装在 T3 协议中，通过对 T3 协议中的 payload 进行反序列化，从而实现对存在漏洞的 WebLogic 组件进行远程 Blind XXE 攻击。

漏洞危害

攻击者利用该漏洞，可实现远程 XXE 攻击。

受影响范围

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

修复建议

一、升级 Oracle 官方安全补丁。

二、控制 T3 协议的访问权限

WebLogic Blind XXE 漏洞产生于 WebLogic 的 T3 服务，因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口（默认为 7001 端口）时，T3 服务会默认开启。具体操作如下：

1 进入 WebLogic 控制台，在 base_domain 的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3 和 t3s 协议的所有端口只允许本地访问）。

3 保存后需重新启动，规则方可生效。

上一条：

漏洞预警:Confluence 路径穿越漏洞（CVE-2019-3398）

下一条：

漏洞预警：Confluence 远程代码执行漏洞（CVE-2019-3396）