WebLogic XXE 漏洞:XML外部实体注入攻击
|
1月4日,上云无忧安全应急响应中心监测到Oracle WebLogic Server存在 XXE漏洞。该漏洞影响广泛且危害较大,官方暂未发布修复补丁,建议受影响的用户尽快采取暂缓措施,避免遭受恶意攻击。 漏洞描述 WebLogic Server存在XXE漏洞,攻击者可以在未授权情况下对目标系统发起XML外部实体注入攻击。成功触发该漏洞需要目标开启T3或IIOP协议,目标接收到攻击者恶意构造的数据进行反序列化,触发loadxml,服务器远程加载恶意dtd文件并解析,造成XML外部实体注入,且成功利用需要目标出网。
风险等级 高危影响版本 WebLogic多个版本: 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 修复建议 若业务环境允许,使用白名单限制相关web项目的访问来降低风险。 禁用T3、IIOP协议; 参考链接 https://mp.weixin.qq.com/s/o4Lky3aD74CChDuCxw3ZJA |
全部评论
暂无评论
有话要说