甲骨文发布紧急补丁修复WebLogic Server严重漏洞

10月更新的严重漏洞CVE-2020-14882补丁刚过去不久，Oracle又发布了新的严重漏洞更新。

Oracle在周末发布了带外安全更新，修复了影响多个Oracle WebLogic Server版本的关键远程代码执行（RCE）漏洞。安全漏洞编号为CVE-2020-14750， 漏洞等级：严重，漏洞评分：9.8，满分10。Oracle向安全公告中的20个组织和人员表示感谢，因为他们提供了有助于公司修复CVE-2020-14750漏洞信息。

无需认证的RCE漏洞

攻击者无需进行身份验证，通过HTTP远程利用服务器控制台组件中的RCE漏洞开展攻击，无需用户干预，尽管这种攻击不那么复杂，但是有可能接管目标服务器。

受CVE-2020-14750 影响的Oracle WebLogic Server版本包括10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。

甲骨文解释：“这是一个无需身份验证即可远程利用，即可以在无需用户名和密码的情况下，攻击者可以利用网络访问公司资源的漏洞。鉴于该严重漏洞的危害程度，漏洞利用代码的广泛传播，Oracle强烈建议客户尽快应用安全警报中提供的更新。”

周日，Oracle安全性保证总监埃里克·莫里斯还分享了一个链接到WebLogic Server的指令中心，并在博客文章中发布了带外安全更新。网络安全和基础架构安全局（CISA）也敦促用户和管理员应用此安全更新来预防潜在的攻击。

与被积极利用的CVE-2020-14882有关

Oracle还表示，该漏洞与CVE-2020-14882有关，这是两周前（2020年10月）重要补丁更新中修复的9.8分的关键WebLogic Server漏洞。

根据SANS Technology Institute的报告，在本月的重要补丁更新发布一周后，攻击者就开始对暴露的和易受攻击的Oracle WebLogic CVE-2020-14882漏洞进行实例扫描。

与CVE-2020-14750一样，易受攻击的Oracle WebLogic Server版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0。

该公司尚未提供这两个漏洞之间关系的进一步详细信息，带外安全更新或许也是周五发布CVE-2020-14882补丁绕过的直接解决方案。、

参考来源：

Oracle issues emergency patch for critical WebLogic Server flaw