漏洞描述

WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件，用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU（Critical Patch Update），其中修复了存在于 WebLogic 中的一个高危漏洞（CVE-2019-2891）。该漏洞利用难度较高。

漏洞编号

CVE-2019-2891

漏洞危害

攻击者在未授权的情况下，可以通过发送 HTTP 请求攻击 WebLogic Server。一旦利用成功，便可接管目标的 WebLogic Server。

漏洞等级

高危
受影响版本

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

修复方案

使用 Oracle 官方安全补丁进行更新修复：

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html