【权威发布】关于Oracle WebLogic Server未授权远程代码执行高危漏洞的预警通报

近日，我中心技术支持单位奇安信CERT监测到Oracle WebLogic Server 远程代码执行漏洞POC被公开。利用该漏洞，远程攻击者可在 WebLogic Server Console 执行任意代码。漏洞编号：CVE-2020-14882，安全级别为“高危”。

一、漏洞情况

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

Oracle WebLogic Server 远程代码执行漏洞POC已经被公开，未经身份验证的远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console ，并利用该漏洞在受影响的 WebLogic Server 上执行任意代码。鉴于该漏洞影响范围广，危害程度较大，请受影响的各单位立即更新补丁。

二、影响范围

Oracle WebLogic Server 10.3.6.0.0；

Oracle WebLogic Server 12.1.3.0.0；

Oracle WebLogic Server 12.2.1.0.0；

Oracle WebLogic Server 12.2.1.4.0；

Oracle WebLogic Server 14.1.1.0.0。

三、处置建议

Oracle 官方的已发布了针对该漏洞的补丁，请广大用户参考附件链接及时下载补丁程序并安装更新。

附件：补丁链接：

https://www.oracle.com/security-alerts/cpuapr2020.html