此次修复的漏洞利用难度低危害严重且影响广泛，建议受影响的用户及时更新安全补丁，避免被黑客攻击造成损失。

漏洞描述
WebLogic 是美国 Oracle 公司出品的 Java 应用服务器，WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

本次披露了多个WebLogic 的反序列化漏洞，利用这些漏洞未经身份验证的攻击者通过HTTP、IIOP、T3协议对WebLogic Server组件发送恶意请求，从而在Oracle WebLogic Server执行代码接管WebLogic服务器。这些漏洞包括：CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075。

风险等级
严重

影响版本
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

修复建议
安装官方补丁修复漏洞：
https://www.oracle.com/security-alerts/cpujan2021.html

如不方便升级，可采取以下暂缓措施：

关闭T3协议。如果不依赖T3协议进行JVM通信，可通过暂时阻断T3协议缓解此漏洞带来的影响：1）进入WebLogic控制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。2）在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：7001 deny t3 t3s。3）保存生效（无需重启）。

关闭IIOP。用户可通过关闭 IIOP 协议对相关漏洞进行缓解。操作如下：进入WebLogic控制台，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选，并重启 WebLogic 项目，使配置生效。

临时关闭后台/console/console.portal对外访问。

参考链接
[1]https://www.oracle.com/security-alerts/cpujan2021.html