【原创漏洞】WebLogic任意文件读取漏洞(CVE-2019-2615)

发布时间 2019-04-17
漏洞编号:CVE-2019-2615
漏洞来源:启明星辰ADLab
发布时间:2019年4月17日

漏洞概述


2019年4月17日,Oracle官方发布4月份安全补丁, 补丁中包含启明星辰ADLab发现并第一时间提交给Oracle官方的WebLogic任意文件读取漏洞,漏洞编号为CVE-2019-2615。利用该漏洞,攻击者可以在已知用户名密码的情况下读取WebLogic服务器中的任意文件。

漏洞时间轴


2018年12月24日:将漏洞详情提交给官方;
2019年1月4日:确认漏洞存在并开始修复;
2019年4月17日:Oracle官方发布安全补丁。

影响版本


WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

漏洞利用


测试环境:WebLogic Server 10.3.6.0(打补p28343311_1036_Generic)


漏洞利用过程:



规避方案


升级补丁。Oracle官方更新链接地址:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。