【已复现】Oracle WebLogic Server 远程代码执行漏洞（CVE-2024-21216）

Oracle WebLogic Server 是一款由Oracle公司开发的企业级应用服务器，用于构建和部署多层分布式应用程序，具有高性能、可扩展性和可靠性。

2024年10月，Oracle官方发布补丁修复了一个远程代码执行漏洞（CVE-2024-21216）。该漏洞无需认证即可被攻击者利用，即便在高版本JDK环境中也无需服务器出网。建议受影响的用户尽快修复此漏洞。

01  漏洞描述

漏洞成因

由于WebLogic对于通过T3/IIOP协议传入的数据过滤不严格，允许未经授权的攻击者使用T3/IIOP协议向服务器发送特制的请求，可以利用反序列化漏洞在未经授权的情况下远程执行任意代码或控制服务器。

漏洞影响

攻击者成功利用该漏洞将会导致严重的安全后果。攻击者通过利用反序列化漏洞，可以在服务器上执行任意代码，从而获得服务器的进一步控制权。最严重的情况下，这可能导致服务器的完全接管，敏感数据泄露，甚至将服务器转化为发起其他攻击的跳板。

处置优先级：高

漏洞类型：反序列化

漏洞危害等级：高

权限认证要求：无需任何权限

系统配置要求：默认配置可利用

用户交互要求：无需用户交互

利用成熟度：POC/EXP已公开

批量可利用性：可使用通用原理POC/EXP进行检测/利用

修复复杂度：低，官方提供升级修复方案

02  影响版本

version == 12.2.1.4.0, 14.1.1.0.0

03  解决方案

临时缓解方案

1. 在确认不影响的业务的前提下可临时禁用T3/IIOP协议。

2. 限制访问来源地址，如非必要，不要将系统开放在互联网上。

升级修复方案

Oracle官方已发布升级补丁包，可在Weblogic官网下载使用。

04  漏洞复现

高版本JDK 8u371，7月补丁环境

05 产品支持

云图：默认支持该产品的指纹识别，预计10月16日支持该漏洞检测。

洞鉴：预计10月16日发布更新支持该漏洞检测。

全悉：默认支持该漏洞利用行为检测。

雷池：非HTTP协议，不支持检测。