- A+
2019年4月18日,阿里云云盾应急响应中心监测到Oracle WebLogic 在野0day命令执行漏洞。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险极大。
漏洞描述
wls-wsat和bea_wls9_async_response组件处理请求不当,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。阿里云云盾应急响应中心已捕获该0day漏洞利用方式,漏洞真实存在且风险极大。目前官方暂未发布补丁,阿里云云盾应急响应中心提醒WebLogic用户尽快使用以下安全修复方案阻止漏洞攻击。
2019年4月28日,Oracle已针对漏洞进行补丁修复:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
安全修复建议
注:以下任意一种修复方式都有可能造成业务不可用(补丁修复除外)
如:bea_wls9_async_response.war、com.oracle.webservices.wls.bea-wls9-async-response_*.war和wls-wsat.war
如下:

阿里云安全组禁止WebLogic端口对外
漏洞评级
CVE-2019-2725 严重
受影响范围
10.3.6.0.0
12.1.3.0.0
2021阿里云又降价了,便宜有好货!
①阿里云:阿里云服务器69元一年,209元三年(很便宜)
②代金券:阿里云代金券限量发放中...(有账号就能领)
③腾讯云:腾讯云服务器秒杀88元/年起(有高配)