一、漏洞简介

WebLogic是Oracle公司出品的基于JavaEE架构的中间件，用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。Weblogic在利用T3协议进行远程资源加载调用时，默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单，使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启，而Weblogic默认安装会自动开启控制台，因此攻击者可通过此漏洞造成远程代码执行，以控制Weblogic服务器。官方目前已经发布安全补丁对此漏洞进行修复。该漏洞被分配漏洞编号CVE-2019-2890。

二、风险等级

风险评级：高危

三、影响范围

WebLogic Server 10.3.6.0、WebLogic Server 12.1.3.0

WebLogic Server 12.2.1.3

四、 安全建议

(一)升级补丁：Oracle官方更新链接地址https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

(二)如果不依赖T3协议进行JVM通信，禁用T3协议。

五、参考链接

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html