Weblogic Console HTTP 远程代码执行漏洞（CVE-2020-14882）

2020年10月30日，我国网络安全企业奇虎360公司发布漏洞通告称其监测发现Oracle官方的CVE-2020-14882 Weblogic代码执行漏洞最新补丁可被绕过，其漏洞利用代码已经在互联网上被公开。 该漏洞编号为CVE-2020-14882，漏洞等级：严重，漏洞评分：9.8。远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。受影响的Oracle Weblogic版本包括：10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。 在Oracle公司2020年10月发布的累积更新补丁中，提供了相应的补丁，但奇虎360公司称该补丁可以被绕过，目前相关产品的安全风险较高。在Oracle官方尚未提供最新修复补丁的情况下，建议我国用户，尤其是重要信息系统和关键基础设施用户，暂时对外关闭Weblogic服务后台/console/console.portal的访问权限，同时关注官方最新的补丁更新情况。