Oracle WebLogic Server Java 物件還原序列化 RCE (CVE-2020-2883)

語系：

An application server installed on the remote host is affected by a remote code execution vulnerability.

遠端主機上安裝的 Oracle WebLogic Server 版本受到 WLS Core Components 子元件中的遠端程式碼執行弱點影響，這是因為對 Java 物件進行不安全的還原序列化所致。未經驗證的遠端攻擊者可惡意利用此弱點，透過特製序列化的 Java 物件來執行任意命令。

Apply the appropriate patch according to the April 2020 Oracle Critical Patch Update advisory.

嚴重性: Critical

ID: 138074

檔案名稱: oracle_weblogic_server_cve_2020_2883.nbin

版本: 1.42

類型: remote

系列: Web Servers

已發布: 2020/7/2

已更新: 2024/3/19

組態: 啟用徹底檢查

支援的感應器: Nessus

風險因素: High

分數: 8.4

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2020-2883

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:weblogic_server

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/4/20

弱點發布日期: 2020/4/20

Core Impact

Metasploit (WebLogic Server Deserialization RCE BadAttributeValueExpException ExtComp)

CVE: CVE-2020-2883