Weblogic 中间件 CVE-2018-2894 漏洞利用复现

0x01 漏洞介绍

Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含一个任意文件上传漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2894。

Weblogic 任意文件上传漏洞是通过ws_utc/config.do路径进行配置的过程中,在配置界面会存在一个上传点,首先更改当前的工作路径,使得路径无需权限即可访问。接下来利用上传点上传shell,并在对应路径进行访问,最终能够获得服务器 shell。

0x02 影响范围

影响范围:

10.3.6.0

12.1.3.0

12.2.1.2

12.2.1.3

0x03 漏洞复现

漏洞复现:

0x04 修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180723G0P62B00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券