【预警通报】关于WebLogic存在XXE高危漏洞的预警通报

近日，我中心技术支持单位监测发现Oracle WebLogic Server存在 XXE（XML外部实体注入）漏洞，攻击者可在未授权情况下对目标系统发起 XML 外部实体注入攻击。

一、漏洞情况

Oracle WebLogic Server是基础中间件中的融合中间件服务，成功利用该漏洞的攻击者可在未授权情况下对目标系统发起 XML 外部实体注入攻击。成功利用该漏洞需目标开启T3或IIOP协议，目标接收到攻击者恶意构造的数据进行反序列化并触发 loadxml，服务器远程加载恶意 dtd 文件同时解析，造成 XML外部实体注入。

二、影响范围

WebLogic 10.3.6.0.0；

WebLogic 12.1.3.0.0；

WebLogic 12.2.1.3.0；

WebLogic 12.2.1.4.0；

WebLogic 14.1.1.0.0。

三、处置建议

（一）Oracle官方暂未发布相关修复补丁，请各单位及时关注Oracle官网进行更新修复。

（二）临时解决方案：建议用户禁用 T3 IIOP 协议。

1.禁用 T3

进入 WebLogic 控制台，在 base_domain 配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2.禁用 IIOP

用户通过关闭 IIOP 协议阻断针对利用 IIOP 协议漏洞的攻击，操作如下：

（1）在 WebLogic 控制台中，选择“服务”->”AdminServer”->”协议”；

（2）取消“启用 IIOP”的勾选；

（3）重启 WebLogic 项目，使配置生效。

请广大用户及时自查并修复漏洞。

附件：参考链接：https://www.oracle.com/