一 漏洞概述

WebLogic 是美国 Oracle 公司出品的一个应用服务器，是一个基于 JAVAEE 架构的中间件，WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
2019 年 04 月 26 日，Oracle 发布紧急补丁修复 WebLogic 远程代码执行漏洞(CVE-2019-2725)。
2019 年 06 月 14 日，野外出现 CVE-2019-2725 的绕过利用方式。
2019 年 06 月 15 日，知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。

二 漏洞危害

未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞获取服务器权限，实现远程代码执行。

三 影响版本

WebLogic 10.3.6.0
WebLogic 12.1.3.0

四 复现过程

1.复现环境
WebLogic 10.3.6.0.190416(安装了 2019 年 4 月份的补丁)

2 复现过程及结果
(1) 构造 payload，发送至服务器。

(2)命令执行成功。

五 影响范围

根据 ZoomEye 网络空间搜索引擎[2]对关键字 “WebLogic” 进行搜索，共得到105509 条 IP 历史记录，主要分布在美国、中国等国家。

六 修复建议

目前，Oracle 官方暂未发布补丁，可采用以下措施缓解该漏洞：
1.通过访问策略控制禁止/_async/* 与 /wls-wsat/* 路径的 URL 访问。
2.在明确不使用 wls-wsat.war 和 bea_wls9_async_response.war 的情况下，
建议直接删除该组件并重启 WebLogic。

七 相关链接

WebLogic 官网：https://www.oracle.com/middleware/weblogic/
ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=weblogic