1、基本情况

　　近日，监测发现Oracle WebLogic远程命令执行漏洞最新利用代码，并绕过了官方4月底的最新安全补丁（CVE-2019-2725）。由于应用在处理反序列化输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求，获得目标服务器的权限，在未授权的情况下远程执行命目前，该漏洞属于0day，官方尚末给出任何补丁。

　　2、攻击原理

　　WebLogic是美国Oracle公司出品的Java应用服务器，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未授权的情况下远程执行命令。和CNVD-C-2019-48814不同，该漏洞可以绕过最新的补丁。由于weblogic使用人数众多，其中包含一些重要单位，且目前官方未发布相关补丁，所以漏洞危害非常严重。希望相关用户采取下方的临时修复方案进行应急。

　　3、影响范围

　　受影响的版本：

　　WebLogic 10.X

　　WebLogic 12.1.3

　　4、处置建议

　　目前，Oracle官方暂未发布补丁，临时解决方案如下：

　　1) 配置URL访问控制策略

　　部署于公网的WebLogic服务器，可通过ACL禁止对/async/及/wls-wsaty/*路径的访问

　　2) 删除不安全文件

　　删除wls9_async_response.war 与wls-wsat.war文件及相关文件夹，并重启Weblogic服务。

　　具体文件路径如下：

　　10.3.*版本：

　　\Middleware\wlserver_10.3\serverlib\

　　%DOMAIN_HOME%\servers\AdminServer\tmp\LWLinternal\

　　%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

　　12.1.3版本：

　　\Middleware\Oracle._Home\oracle.common\modules\

　　%DOMAIN_HOMES\servers\AdminServer\tmp\internal\

　　%DOMAIN_HOME%\servers\AdminServer\tmp\WLinternal\

　　建议使用WebLogic Server 构建网站的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。请密切关注Oracle官方补丁通告。

　　5、参考链接

　　1) http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725