【已复现】Oracle WebLogic Server 远程代码执行漏洞（CVE-2024-21216）

文章预览

Oracle WebLogic Server 是一款由Oracle公司开发的企业级应用服务器，用于构建和部署多层分布式应用程序，具有高性能、可扩展性和可靠性。 2024年10月，Oracle官方发布补丁修复了一个远程代码执行漏洞（CVE-2024-21216）。该漏洞无需认证即可被攻击者利用，即便在高版本JDK环境中也无需服务器出网。建议受影响的用户尽快修复此漏洞。 漏洞描述   Description   0 1 漏洞成因 由于WebLogic对于通过T3/IIOP协议传入的数据过滤不严格，允许未经授权的攻击者使用T3/IIOP协议向服务器发送特制的请求，可以利用反序列化漏洞在未经授权的情况下远程执行任意代码或控制服务器。 漏洞影响 攻击者成功利用该漏洞将会导致严重的安全后果。攻击者通过利用反序列化漏洞，可以在服务器上执行任意代码，从而获得服务器的进一步控制权。最严重的情况下，这可能导致服务器 ………………………………