预警Weblogic 远程任意文件上传漏洞

2018年7月19日，安全专题监测到Oracle官方发布的7月份的关键补丁更新CPU（Critical Patch Update），其中包含可远程上传任意文件的高危安全漏洞CVE-2018-2894。

漏洞描述：
ws_utc 为 WebLogic Web 服务测试客户端，其配置页面存在未授权访问的问题，路径为 /ws_utc/config.do，攻击者通过访问此配置页面，用有效的 WebLogic Web 路径替换存储 JKS Keystores 的文件目录，然后上传恶意的 JSP 脚本木马文件。

风险评级：
CVE-2018-2894：高危

受影响范围：
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

官方安全补丁：
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

我们会关注后续进展，请随时关注官方公告。
内容来自网络，如有侵犯到您的权益，请联系站长QQ7529997，我们将及时处理。

安全专题
2018.07.19