WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

WebLogic远程代码执行漏洞CVE-2020-14882和CVE-2020-14883两个高危漏洞POC已经公开,未经身份验证的攻击者可以通过构造恶意HTTP请求利用该漏洞,成功利用此漏洞可能接管Oracle WebLogic Server。

漏洞信息

更新日期：2020.10.29

威胁类型：远程代码执行

危险等级：严重

漏洞ID:

CVE-2020-14882，CVE-2020-14883

受影响的版本：

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

漏洞详情

CVE-2020-14883: 权限绕过漏洞

远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console。

CVE-2020-14882: 代码执行漏洞

结合 CVE-2020-14883 漏洞，远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。

修补建议 

及时更新补丁，参考oracle官网发布的补丁:

Oracle Critical Patch Update Advisory - October 2020

https://www.oracle.com/security-alerts/cpuoct2020traditional.html