【漏洞详情】

Oracle WebLogic Server是基础中间件中的融合中间件服务。近日，平安云安全中心监控到，此应用存在XML外部实体注入漏洞，当服务端开启T3或IIOP协议时，攻击者可利用此漏洞在未授权情况下对目标系统发起XML外部实体注入攻击。

【漏洞评级】

高危

【 影响范围】

l  WebLogic 10.3.6.0.0

l  WebLogic 12.1.3.0.0

l  WebLogic 12.2.1.3.0

l  WebLogic 12.2.1.4.0

l  WebLogic 14.1.1.0.0

【修复建议】

官方暂未发布新安全补丁，建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险。

1、禁用T3 IIOP协议

2、禁用IIOP

【参考链接】

https://www.oracle.com/

特别提醒：安全加固前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2021年1月4日