0x01 漏洞介绍
Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含一个任意文件上传漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2894。
Weblogic 任意文件上传漏洞是通过ws_utc/config.do路径进行配置的过程中,在配置界面会存在一个上传点,首先更改当前的工作路径,使得路径无需权限即可访问。接下来利用上传点上传shell,并在对应路径进行访问,最终能够获得服务器 shell。
0x02 影响范围
影响范围:
10.3.6.0
12.1.3.0
12.2.1.2
12.2.1.3
0x03 漏洞复现
漏洞复现:
0x04 修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
领取专属 10元无门槛券
私享最新 技术干货