【漏洞预警】Weblogic最新反序列化远程命令执行漏洞(绕过 CVE-2019-2725 补丁)

一、漏洞描述 4月17日，国家信息安全漏洞共享平台（CNVD）公开了Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814/CVE-2019-2725），由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞可获取服务器权限，实现远程代码执行。官方紧急补丁（CVE-2019-2725）已于4月26日发布。 近日，有消息称CVE-2019-2725的补丁可绕过，网上已流出相关POC，经我团队小伙伴验证，漏洞确实存在，攻击者可通过发送精心构造的恶意HTTP请求，在未授权的情况下远程执行命令。目前官方补丁未发布，漏洞细节未公开，望相关用户及时采取相关措施。 验证截图：

二、受影响版本 · Oracle WebLogic Server10.3.6.0.0 ·        Oracle WebLogic Server12.1.3.0.0

三、修复建议 1.  删除wls9_async_response.war和wls-wsat.war文件及相关文件夹并重启Weblogic服务。具体路径为： 10.3.*版本： /Middleware/wlserver_10.3/server/lib/ %DOMAIN_HOME%/servers/AdminServer/tmp/_WL_internal/ %DOMAIN_HOME%/servers/AdminServer/tmp/.internal/        12.1.3版本： /Middleware/Oracle_Home/oracle_common/modules/ %DOMAIN_HOME%/servers/AdminServer/tmp/.internal/ %DOMAIN_HOME%/servers/AdminServer/tmp/_WL_internal/ 2. 通过访问策略控制禁止 /_async/跟/wls-wsat/ 路径的URL访问。 3. 请密切关注 Oracle 官方补丁通告。 来源：CSPEC 立体防护