【漏洞详情】

近日业界报告发现Oracle WebLogic wls-wsat和bea_wls9_async_response组件存在0day命令执行漏洞，未经授权的攻击者可以通过发送精心构造的恶意 HTTP 请求，利用此漏洞可成功绕过最新的Weblogic补丁(CVE-2019-2725)，获取服务器权限，实现远程代码执行。成功利用后风险极大。

【风险评级】

高危

【影响范围】

10.3.6.0.0

12.1.3.0.0

【修复建议】

目前官方暂未发布补丁，建议WebLogic用户使用以下方案阻止漏洞攻击，并持续关注漏洞后续进展和官方补丁动态，及时升级漏洞补丁。

l  删除wls-wsat.war和bea_wls9_async_response相关组件并重启WebLogic，如：bea_wls9_async_response.war、com.oracle.webservices.wls.bea-wls9-async-response_*.war和wls-wsat.war；

l  通过访问控制策略禁止互联网对/_async/*和/wls-wsat/*路径的访问。

注：此两种修复方案都有可能造成部分WebLogic功能不可用，请充分评估业务影响和并制定修复方案。

【参考链接】

http://www.cnhonkerarmy.com/article-71-1.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。