【漏洞通告】WebLogic JNDI 注入远程代码执行漏洞安全风险通告

漏洞描述

2023 年 4 月 19 日, 监测到 Oracle 发布安全补丁修复 WebLogic 中间件漏洞。该漏洞利用难度极低, 可以直接远程代码执行, 影响范围较大, 建议尽快修复。

漏洞编号

CVE-2023-21931

漏洞危害

远程攻击者在未授权情况下可通过构造特殊请求执行任意命令, 利用该漏洞获取控制权。

漏洞等级

高危

已验证受影响版本

WebLogic 12.2.1.3.0、 12.2.1.4.0、 14.1.1.0.0

修复方案

1.官方修复措施

Oracle 官方已发布修复方案, 建议及时更新。

2. 临时处置和应对措施

若非必须开启, 请禁用 T3 协议, 或者对协议端口进行严格的权限控制。