WebLogic中间件漏洞

最新推荐文章于 2025-07-31 20:01:17 发布
最新推荐文章于 2025-07-31 20:01:17 发布
阅读量606 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞挖掘 文章标签: 中间件 java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaofengdada/article/details/130660099
本文详细介绍了WebLogic中间件的各种安全漏洞,包括XMLDecoder反序列化漏洞、WLS Core Components反序列化命令执行、文件上传漏洞以及多个远程代码执行漏洞。文中还提供了修复建议,如安装补丁、删除特定组件或更改配置来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、简介

二、常见漏洞

(一)XMLDecoder反序列化漏洞(CVE-2017-10271&CVE-2017-3506)

修复建议:

(二)Weblogic WLS Core Components反序列化命令执行漏洞(CVE-2018-2628)

(三)Weblogic 任意文件上传漏洞(CVE-2018-2894)

修复建议:

(五)CVE-2019-2729(Weblogic反序列化远程代码执行漏洞)

(六) CVE-2020-14750(Weblogic远程代码执行漏洞)

(七) Weblogic 弱口令&&后台getshell

(八) CVE-2020-14882(WebLogic远程代码执行漏洞)

(九) CVE-2021-2109 (Weblogic Server远程代码执行漏洞)

一、简介

        WebLogic是由美国Oracle公司推出的一款中间件,采用JAVAEE架构,可用于开发、集成、部署和管理各类规模的Java应用,包括Web应用、网络应用和数据库应用等。该应用服务器融合了Java的动态功能和Java Enterprise标准的高安全性,为大型网络应用的开发、集成、部署和管理提供强有力的支持。

二、常见漏洞

(一)XMLDecoder反序列化漏洞(CVE-2017-10271&CVE-2017-3506

Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可
执行任意命令。访问 /wls-wsat/CoordinatorPortType 返回如下页面,则可能存在此漏洞。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Weblogic中间件漏洞
m0_75036923的博客
09-20 797
环境搭建漏洞复现 默认账号密码:weblogic/Oracle@123 weblogic常⽤弱⼝令:https://cirt.net/passwords?1.登录后台后,点击部署,点击安装,点击上传⽂件。2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传然后⼀直下⼀步3.访问部署好的war 192.168.0.115:7001/1/1.jsp。
漏洞复现】WebLogic中间件漏洞
qq_48368964的博客
08-06 1338
WebLogic是美国Oracle公司出品的⼀个application server,确切的说是⼀个基于JAVAEE架构的中间件,默认端⼝:7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开发、集成、部署和管理之中。
常见Tomcat漏洞
starhei.zxy的博客
08-06 3509
JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
WebLogic 中间件漏洞
weixin_71053667的博客
08-06 1321
Weblogic介绍WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001 WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
weblogic中间件漏洞汇总
混子
11-24 9485
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
Weblogic中间件漏洞复现
m0_72199724的博客
05-09 721
WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的WebLogicServer 上执行任意代码。
iwebsec靶场 中间件漏洞通关笔记1-Weblogic中间件漏洞
2401_84968303的博客
05-12 841
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
weblogic中间件漏洞复现
qq_65852138的博客
09-23 1271
weblogic中间件漏洞复现
Weblogic中间件漏洞合集
2301_77315080的博客
10-19 235
1、反序列化2、任意文件上传3、后台部署war包。
常见中间件漏洞WebLogic
2302_77611368的博客
03-23 1968
Weblogic介绍Weblogic介绍WebLogic 是 Oracle 公司开发的一款企业级 Java EE(Java Platform, Enterprise Edition)应用服务器,广泛用于构建、部署和管理分布式企业级应用程序。它是 Java EE 规范的主要实现之一,支持高可用性、可扩展性和安全性,适用于大型企业和关键业务系统。
常见的中间件漏洞:WebLogic
m0_63944205的博客
08-06 1516
Weblogic Server中的RMI 通信使⽤T3协议在Weblogic Server和其它Java程序(客户端或者其它 Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应⽤程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端⼝的应⽤上默认开 启, 攻击者可以通过T3协议发送恶意的的反序列化数据, 进⾏反序列化, 实现对存在漏洞weblogic组件 的远程代码执⾏攻击。此时达到未授权得效果。
iwebsec靶场 中间件漏洞通关笔记1-Weblogic中间件漏洞(1)
2401_84968529的博客
05-17 420
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
信创缓存中间件TongRDS(Redis平替)安装、接入SpringBoot全流程
weixin_46739493的博客
07-31 763
Redis信创平替:TongRDS 的安装部署流程。
GoLand 项目从 0 到 1:第三天 —— 图数据库版本管理方案调研与中间件部署
weixin_46303384的博客
07-28 602
本文聚焦知识图谱系统的关键技术实现,主要包括:1. 提出基于Neo4j的版本管理方案,采用valid_from/valid_to属性实现节点/关系的版本化存储,支持高效查询与回退操作;2. 完成MinIO对象存储系统的全链路集成,包括Docker部署、API配置和文件CRUD接口开发;3. 搭建图数据库与文件存储的基础环境,为后续知识图谱功能开发奠定基础。通过节点版本化属性和变更记录机制,在保证查询效率的同时实现了完整版本链管理。
Django 中间件
csbysj2020
07-31 251
_call__:该方法是中间件的核心,用于处理请求。:在请求到达视图之前执行,用于修改请求对象。:在请求到达视图时执行,用于修改请求对象或响应对象。:在请求通过视图处理后执行,用于修改响应对象。:在请求过程中抛出异常时执行,用于处理异常。# 修改请求对象print("处理请求")# 修改请求或响应对象print("处理视图")# 修改响应对象print("处理响应")# 处理异常print("处理异常")
STM32 USB 设备中间件 tinyusb
is0815的博客
07-31 629
步骤内容1CubeMX 生成基本工程2引入 TinyUSB 代码3添加 tusb_config.h4main.c中调用5编写描述符、回调函数6CMake 添加 TinyUSB 库很关键的问题!如果你使用中断函数(ISR)是必须配置的,否则 USB 无法正常通信。步骤内容说明中断函数名称中断函数实现调用HAL 中断是否保留?否(TinyUSB 自己处理)NVIC 中断优先级/使能必须启用,优先级可设为 0文件放在。
嵌入式中间件-uorb解析
yybyg的博客
07-29 737
uORB系统是一个专为无人机飞控设计的嵌入式实时通信框架,采用发布-订阅模式实现高效数据传输。该系统包含三大核心组件:ADVERTISER负责数据发布和同步控制,SUBSCRIBER实现数据订阅与版本跟踪,DEV_TOPIC管理数据存储和事件分发。uORB支持强类型数据结构、多实例传感器管理,通过VFS层提供统一的访问接口。其特色包括静态分配与动态管理结合的内存优化策略,以及基于FreeRTOS的实时性保障。系统采用链表管理发布订阅关系,通过信号量实现同步机制,满足无人机系统对低延迟、高可靠通信的需求。
LCM中间件入门(2):LCM核心实现原理解析
最新发布
07-31 576
工作原理交互图如下:fill:#333;PublisherLCM_Pub (发布者实例)Network (UDP组播)LCM_Sub (订阅者实例)Subscriber初始化LCM实例创建lcm_t结构体1. 创建UDP套接字2. 启动接收线程3. 初始化错误码为0调用good()返回状态 (socket有效+线程运行+无错误)初始化LCM实例创建lcm_t结构体1. 创建UDP套接字2. 启动接收线程3. 初始化回调表(空)调用good()
LCM中间件入门(1):工作原理核心概念及Ubuntu环境下的C++实践
07-31 739
LCM(Lightweight Communications and Marshalling)是一款轻量级通信与编组中间件,专为实时系统设计,尤其适用于机器人、自动驾驶、航空航天等对低延迟、高可靠性有要求的领域。其核心优势在于轻量化设计(无集中式服务器)、高效数据传输(基于UDP组播)和跨语言支持(C/C++、Python、Java等),能轻松实现多进程/多设备间的实时数据交互。.lcmLCM凭借轻量化、低延迟的特性,在实时系统通信中占据重要地位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值