本文最后更新于 2018年04月18日 19:55 可能会因为没有更新而失效。如已失效或需要修正,请留言!

http://www.lengbaikai.net/?p=250

今早,朋友圈就刷爆了这个漏洞,但是目前只有POC验证脚本放出,后续有exp放出时,我会继续更新这篇博文。

0x01 综述

当地时间4月17日,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),这个漏洞是我在去年11月份报给Oracle的,通过该漏洞,攻击者可以在未授权的情况下远程执行任意代码。

参考链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

漏洞影响范围

0x02 复现

目前流传比较广的是weblogic_poc.client1.for.scan-cve-2018-2628.py这个验证脚本,我们来开一个weblogic玩玩~
CVE-2018-2628 weblogic漏洞验证-ChaBug安全
OK打开正常,这里的版本是12c
QQ截图20180418162050.png

CVE-2018-2628 weblogic漏洞验证-ChaBug安全
这里只是验证存在漏洞,我会持续关注,待能执行命令的exp放出来之后我会接着更新。

喜欢这篇文章的话就点一点喜欢吧!