Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

安全研究人员表示WebLogic补丁可以被人绕过，并发布了概念证明代码。

本月早些时候，Oracle为其WebLogic服务器的一个严重漏洞打上了补丁，阿里巴巴安全研究人员徐元振认为，Oracle搞砸了补丁。

Oracle前阵子刚一口气发布了最近一个季度的补丁，整整254个，它们以Java和Spectre补丁为主，这个安全漏洞当时得到了修复。

修补列表中就有CVE-2018-2628（https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2628）：

这个漏洞“很容易被利用”，因而让不法分子得以全面远程接管WebLogic服务器。

下面是相关漏洞演示视频：

阿里云的安全研究人员在Twitter发文并表明2018.4的关键补丁更新版可以轻松绕过”，同时还发布了概念证明（PoC），并发布了漏洞利用视频。

CVE-2018-2628  Weblogic服务器反序列化远程命令执行。不幸的是，2018.4的重要补丁更新版可以轻松绕过。