Oracle WebLogic wls9-async组件反序列化远程命令执行漏洞安全预警

一、概要

近日，华为云关注到业界报告Oracle Weblogic远程反序列化命令执行漏洞，该漏洞绕过了最新的Weblogic补丁（CVE-2019-2725），攻击者可以发送精心构造的恶意HTTP请求，在未授权的情况下远程执行命令，风险性高。截止目前，官方补丁未发布，漏洞细节未公开。

华为云提醒各位租户及时安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

Oracle WebLogic Server 10.3.6

Oracle WebLogic Server 12.1.3

四、处置方案

目前，Oracle官方暂未发布修复补丁，请受影响的租户参考以下任意一项临时解决方案在不影响自身业务的情况下进行安全加固：

1. 查找并删除wls9_async_response.war、 wls-wsat.war这两个受影响组件，然后重启Weblogic服务；

2. 通过访问策略控制，禁止 /_async/* 及/wls-wsat/*路径的URL访问，目前华为云WAF的精准访问防护功能可防御该漏洞攻击。

注：华为云将持续关注漏洞后续进展和官方补丁动态，请各位租户留意。