【原创漏洞】Oracle WebLogic 远程命令执行漏洞(即CVE-2019-2725补丁绕过)
发布时间 2019-06-172019年4月26日,Oracle官方发布了WebLogic wls9-async及wls-wsat组件远程命令执行漏洞的补丁(CVE-2019-2725),https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html。
0x02 漏洞时间轴
2019年6月12日,ADLab将漏洞详情提交给Oracle官方;
0x03 影响版本
Oracle WebLogic Server 10.3.6.0
0x04 漏洞利用
测试环境:WebLogic Server 10.3.6.0 + CVE-2019-2725补丁
官方补丁前的临时防护:
删除wls9_async_response.war、wls_wsat.war及相关文件夹,并重启weblogic服务。
禁止_async/*及wls-wsat/*形式的URL路径访问。