一、概要

近日，華為云關注到Oracle官方發(fā)布補丁更新公告，披露了多個高危漏洞，其中涉及兩個嚴重級別的WebLogic遠程代碼執(zhí)行漏洞（CVE-2020-2546、CVE-2020-2551）。CVE-2020-2546：攻擊者利用T3協(xié)議進行反序列化漏洞的利用，實現(xiàn)遠程代碼執(zhí)行；CVE-2020-2551：攻擊者通過IIOP協(xié)議遠程訪問WebLogic Server服務器上的遠程接口，傳入惡意數(shù)據(jù)，從而獲取服務器權限并在未授權情況下遠程執(zhí)行任意代碼。

華為云提醒使用WebLogic的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.oracle.com/security-alerts/cpujan2020.html

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

四、漏洞處置

1、補丁升級：官方已發(fā)布補丁修復程序，需用戶持有正版軟件的許可賬號，登陸https://support.oracle.com后，下載最新補丁。

2、臨時規(guī)避措施：通過禁用T3協(xié)議、IIOP協(xié)議對漏洞進行緩解。

注：修復漏洞前請將資料備份，并進行充分測試。