安全通告
WebLogic JNDI 注入远程代码执行漏洞安全风险通告
发布日期:2023-4-19
漏洞描述
2023年4月19日,监测到Oracle发布安全补丁修复WebLogic中间件漏洞。
该漏洞利用难度极低,可以直接远程代码执行,影响范围较大,建议尽快修复。官方已发布修改方案,建议客户尽快进行自查并修复。
漏洞编号
CVE-2023-21931
漏洞危害
远程攻击者在未授权情况下可通过构造特殊请求执行任意命令,利用该漏洞获取控制权。
漏洞等级
高危
已验证受影响版本
WebLogic 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
修复方案
1.官方修复措施
Oracle官方已发布修复方案,建议及时更新。
https://www.oracle.com/security-alerts/cpuapr2023.html
- 临时处置和应对措施
若非必须开启,请禁用T3协议,或者对协议端口进行严格的权限控制。
参考链接
- https://www.oracle.com/security-alerts/cpuapr2023.html