安全研究 SECURITY SERVICE

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)

发布时间: 2020-01-17
来源:
浏览数: 142

  漏洞描述  


北京时间2020年1月15日,Oracle发布2020年1月关键补丁更新(Critical Patch Update,简称CPU),此次更新修复了333个危害程度不同的安全漏洞。其中196个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。


此次发布的补丁,修复了Weblogic的两个高危漏洞(CVE-2020-2546、CVE-2020-2551)。


   漏洞编号   


CVE-2020-2551

CVE-2020-2546


   漏洞等级   


高 危


   受影响版本  


CVE-2020-2551

  • 10.3.6.0.0

  • 12.1.3.0.0

  • 12.2.1.3.0

  • 12.2.1.4.0


CVE-2020-2546

  • 10.3.6.0.0

  • 12.1.3.0.0


   修复建议   


  • CVE-2020-2546


用户可通过禁用T3协议,对此漏洞进行临时缓解,具体操作可参考下文

临时禁用T3协议:

(1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;

(2)在链接筛选器中输入:

weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议只允许本地访问);

(3)保存重启后规则生效。

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)



  • CVE-2020-2551



可通过关闭IIOP协议对此漏洞进行缓解。操作如下:

在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。


WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)


  •   检测方法  

捷普网络脆弱性智能评估系统可检测该漏洞,捷普漏扫用户可升级规则至最新版本。

WebLogic最新远程命令执行漏洞(CVE-2020-2546、CVE-2020-2551)

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • Microsoft Bing特权提升漏洞
    点击次数: 1269
    2026 - 04 - 13
    Microsoft Bing特权提升漏洞 https://www.cve.org/CVERecord?id=CVE-2026-32186 FalkorDB浏览器中未经身份验证的路径遍历导致远程代码执行 https://www.cve.org/CVERecord?id=CVE-2026-6057 Odh仪表板:Odh仪表板kubernetes服务帐户暴露 https://access.redhat.com/security/cve/CVE-2026-5483 访问控制中断(IDOR)导致FastGPT中的跨租户应用程序访问 https://nvd.nist.gov/vuln/detail/CVE-2026-40252 Zammad在getting_started_controller中的访问控制不正确 https://www.cve.org/CVERecord?id=CVE-2026-34723
  • Canon多款产品 安全漏洞
    点击次数: 1240
    2026 - 04 - 09
    Canon多款产品 安全漏洞 https://canon.jp/support/support-info/250925vulnerability-response D-Link DIR-619L boa formSchedule堆栈溢出 https://vuldb.com/?ctiid.351094 RealyScript 4.0.2基于多时间的盲SQL注入 https://www.cve.org/CVERecord?id=CVE-2015-20120  RealtyScript 4.0.2通过CSV文件上传文件名存储跨站点脚本  https://www.cve.org/CVERecord?id=CVE-2015-20116
  • 迷人的盒子百合liy_emitter.c clear_storages越界
    点击次数: 1027
    2026 - 03 - 02
    Tenda AC15文本编辑转换栈溢出 https://www.tenda.com.cn/ FascinatedBox lily_limitter.c eval_tree空指针解引用 https://www.cve.org/CVERecord?id=CVE-2026-3392 迷人的盒子百合liy_emitter.c clear_storages越界 https://vuldb.com/?submit.761327 CVE-2026-3379 https://vuldb.com/?submit.759626 TimePictra存储的跨站点脚本 https://www.cve.org/CVERecord?id=CVE-2026-3010
  • OpenClaw通过WebSocket config.apply受到未经身份验证的本地RCE的影响
    点击次数: 1128
    2026 - 02 - 09
    Qdrant受通过“/logger”端点进行的任意文件写入的影响 https://github.com/qdrant/qdrant/security/advisories/GHSA-f632-vm87-2m2f OpenClaw通过WebSocket config.apply受到未经身份验证的本地RCE的影响 https://nvd.nist.gov/vuln/detail/CVE-2026-25593 PrestaShop在FO登录表单中有一个基于时间的枚举 https://www.cve.org/CVERecord?id=CVE-2026-25597 通过破坏访问控制受用户枚举影响的深度审计 https://nvd.nist.gov/vuln/detail/CVE-2026-25729
  • Adobe多款产品存在输入验证不恰当漏洞
    点击次数: 131
    2025 - 12 - 15
    Machothemes Modula_image_gallery存在跨站脚本漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202504-587 campcodes在线学生注册系统register.php无限制上传 https://vuldb.com/?ctiid.336203 Microsoft Edge(基于Chromium)for Mac的欺骗漏洞https://nvd.nist.gov/vuln/detail/CVE-2025-62223 Adobe多款产品存在输入验证不恰当漏洞 https://helpx.adobe.com/security/products/magento/apsb25-88.html
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务