安全研究 SECURITY SERVICE

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)

发布时间: 2020-01-17
来源:
浏览数: 116

  漏洞描述  


北京时间2020年1月15日,Oracle发布2020年1月关键补丁更新(Critical Patch Update,简称CPU),此次更新修复了333个危害程度不同的安全漏洞。其中196个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。


此次发布的补丁,修复了Weblogic的两个高危漏洞(CVE-2020-2546、CVE-2020-2551)。


   漏洞编号   


CVE-2020-2551

CVE-2020-2546


   漏洞等级   


高 危


   受影响版本  


CVE-2020-2551

  • 10.3.6.0.0

  • 12.1.3.0.0

  • 12.2.1.3.0

  • 12.2.1.4.0


CVE-2020-2546

  • 10.3.6.0.0

  • 12.1.3.0.0


   修复建议   


  • CVE-2020-2546


用户可通过禁用T3协议,对此漏洞进行临时缓解,具体操作可参考下文

临时禁用T3协议:

(1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;

(2)在链接筛选器中输入:

weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议只允许本地访问);

(3)保存重启后规则生效。

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)



  • CVE-2020-2551



可通过关闭IIOP协议对此漏洞进行缓解。操作如下:

在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。


WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)


  •   检测方法  

捷普网络脆弱性智能评估系统可检测该漏洞,捷普漏扫用户可升级规则至最新版本。

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 5
    2025 - 04 - 14
    CVE-2025-3389  https://vuldb.com/?id.303635 CVE-2025-3387https://www.cve.org/CVERecord?id=CVE-2025-3387 CVE-2025-32409https://www.cve.org/CVERecord?id=CVE-2025-32409
  • CVE-2025-25374
    点击次数: 19
    2025 - 04 - 09
    CVE-2025-24439 Adobe Substance3D是美国奥多比(Adobe)公司的一款 3D 设计软件。Adobe Substance3D 4.5.2版本及之前版本存在安全漏洞,该漏洞源于堆缓冲区溢出问题,可能导致任意代码执行。 https://helpx.adobe.com/security/products/substance3d-sampler/apsb25-16.html CVE-2025-25374 AquilaCMS是AquilaCMS团队的一个完整的多用途开源 CMS。AquilaCMS存在安全漏洞,该漏洞源于可能导致平台拒绝服务。 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202503-2958 CVE-2021-47547 Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在安全漏洞,该漏洞源于存在越界问题。 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202405-4416
  • Arm多款产品存在释放后使用漏洞
    点击次数: 18
    2025 - 03 - 10
    Moodle存在跨站脚本漏洞 https://cxsecurity.com/cveshow/CVE-2021-36398/ Coredns.io Coredns存在通信信道对预期端点的不适当限制漏洞https://nvd.nist.gov/vuln/detail/CVE-2022-2837 Systemd_project Systemd存在特权管理不恰当漏洞 https://packetstormsecurity.com/files/173895/Red-Hat-Security-Advisory-2023-4421-01.html Arm多款产品存在释放后使用漏洞https://nvd.nist.gov/vuln/detail/CVE-2023-33200 Vmware Fusion存在检查时间与使用时间的竞争条件漏洞 https://www.cve.org/CVERecord?id=CVE-2023-34046
  • Linux Linux_kernel存在空指针解引用漏洞
    点击次数: 15
    2025 - 02 - 18
    Kemptechnologies多款产品存在OS命令注入漏洞(CVE-2024-7591) https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202409-390 Linux Linux_kernel存在空指针解引用漏洞 https://git.kernel.org/stable/c/785408bbafcfa24c9fc5b251f03fd0780ce182bd Elecom多款产品存在OS命令注入漏洞 https://jvndb.jvn.jp/en/contents/2024/JVNDB-2024-001061.html Learningdigital Orca_hcm存在关键功能的认证机制缺失漏洞  https://nvd.nist.gov/vuln/detail/CVE-2024-8584 Valvepress Automatic存在SQL注入漏洞 https://nvd.nist.gov/vuln/detail/CVE-2024-27956
  • Lg Webos存在通过用户控制密钥绕过授权机制漏洞
    点击次数: 15
    2025 - 02 - 10
    Lg Webos存在通过用户控制密钥绕过授权机制漏洞 https://lgsecurity.lge.com/bulletins/tv#updateDetails Wpmet Wp_ultimate_review存在服务端安全的客户端实施漏洞 https://www.cve.org/CVERecord?id=CVE-2024-32685 Emarketdesign Youtube_video_gallery存在授权机制缺失漏洞  https://nvd.nist.gov/vuln/detail/CVE-2024-3268 Jenkins Neuvector_vulnerability_scanner存在证书验证不恰当漏洞 https://www.cve.org/CVERecord?id=CVE-2023-30517
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务