漏洞描述
未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求,利用该漏洞在受到攻击的WebLogicServer上执行任意代码。它们均存在于WebLogic的控制台控制台中。此组件为WebLogic全版本版本自带组件,并且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且有权授权的攻击者可以直接在服务端执行任意代码,获取系统权限。CVE-2020-14750是在CVE-2020-14882的基础上对更新补丁进行绕过。
WEBLOGIC越权绕过登录与命令执行漏洞(CVE-2020-14882,CVE-2020-14883,CVE-2020-14750)
PoC代码
暂无相关漏洞推荐
- POC CVE-2021-2135: Oracle WebLogic Server - Remote Code Execution
- weblogic-ssrf: weblogic ssrf
- Weblogic uddiexplorer 服务端请求伪造漏洞(CVE-2014-4210)
- POC CVE-2014-4210: Oracle Weblogic - Server-Side Request Forgery
- POC CVE-2017-10271: Oracle WebLogic Server - Remote Command Execution
- POC CVE-2017-3506: Oracle Fusion Middleware Weblogic Server - Remote OS Command Execution
- POC CVE-2018-2894: Oracle WebLogic Server - Remote Code Execution
- POC CVE-2019-14750: osTicket < 1.12.1 - Cross-Site Scripting
- POC CVE-2019-2725: Oracle WebLogic Server - Remote Command Execution
- POC CVE-2019-2729: Oracle WebLogic Server Administration Console - Remote Code Execution
- POC CVE-2020-14750: Oracle WebLogic Server - Remote Command Execution
- POC CVE-2020-14882: Oracle Weblogic Server - Remote Command Execution
- POC CVE-2020-14883: Oracle Fusion Middleware WebLogic Server Administration Console - Remote Code Execution