远程主机上安装的 WebLogic Server 版本受到 2020 年 7 月 CPU 公告中提及的多个漏洞的影响。

  - 集中式第三方 Jars (jackson-databind) 存在漏洞。未经身份验证的远程攻击者可通过 HTTP 协议利用此问题来接管 Oracle WebLogic Server。(CVE-2020-9546)

  - 核心组件存在漏洞。未经身份验证的远程攻击者可通过 IIOP 和 T3 协议利用此问题来接管 Oracle WebLogic Server。(CVE-2020-14687)

  - 核心组件存在漏洞。未经身份验证的远程攻击者可通过 IIOP 和 T3 协议利用此问题来接管 Oracle WebLogic Server。(CVE-2020-14645)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。另请注意，Oracle 建议应用 ADR 补丁来解决此处记录的安全问题。有关此补丁适用性的更多信息，请参阅适用的 ADR 补丁说明。

检测

Oracle WebLogic Server 多个漏洞（2020 年 7 月 CPU）

critical Nessus 插件 ID 138592

版本 1.14

版本 1.13

版本 1.12

版本 1.11

版本 1.14 Jan 4, 2024, 3:23 PM Detection Plugin Feed: 202401041523
版本 1.13 Dec 12, 2023, 5:15 PM Detection Plugin Feed: 202312121715
版本 1.12 Jan 26, 2023, 3:59 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploit framework core" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202301261559
版本 1.11 Dec 6, 2022, 1:01 AM Reference Plugin Feed: 202212060101