近日，Oracle官方发布了7月份的关键补丁更新CPU（Critical Patch Update），其中包含安全研究人员发现的WebLogic任意文件上传远程代码执行漏洞（CVE-2018-2894)。攻击者通过利用此漏洞，即可在远程且未经授权的情况下在WebLogic服务器上执行任意代码。

漏洞概述

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

该漏洞存在于Web服务组件Oracle WebLogic Server WLS中，攻击者可以通过构造恶意的HTTP请求来利用该漏洞，获取服务器权限，执行系统命令。WebLogic管理端未授权的两个页面存在任意上传getshell漏洞，可直接获取权限。两个页面分别为/ws_utc/begin.do，/ws_utc/config.do。

漏洞危害

攻击者可以通过构造恶意的HTTP请求来利用该漏洞，获取服务器权限，执行系统命令。

受影响范围

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

修复建议

1、Oracle官方已发布了修复补丁，建议及时更新至最新版本。

Oracle补丁链接：http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2、通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器，对T3/T3s协议的访问权限进行配置，阻断漏洞利用途径。具体如下：

第一步：进入 WebLogic控制台，在 base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

第二步：在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和 t3s协议的所有端口只允许本地访问）。

第三步：保存后需重新启动，规则方可生效。