【漏洞预警】WebLogic console 远程代码执行漏洞补丁绕过漏洞（CVE-2020-14750）

2020年10月29日，阿里云应急响应中心研究捕获到 WebLogic console 远程代码执行漏洞（CVE-2020-14882）补丁存在绕过0day漏洞。11月2日，Oracle官方针对该绕过漏洞推出新补丁，其CVE号为 CVE-2020-14750。

漏洞描述

2020年10月，Oracle发布10月关键补丁更新，修复了包括 CVE-2020-14882 在内的多个高危漏洞。阿里云应急响应中心捕获到针对 CVE-2020-14882 WebLogic console 远程代码执行漏洞的补丁存在绕过0day漏洞。在Weblogic完成补丁更新的情况下，未经授权的攻击者仍可绕过WebLogic后台登录等限制，并控制服务器，风险极大。11月2日，Oracle官方针对该绕过漏洞推出新补丁，其CVE号为 CVE-2020-14750。阿里云应急响应中心提醒 Weblogic 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2020-14750 严重

影响版本

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

安全建议

1. 关闭后台/console/console.portal对外访问。

2. 更新相关Weblogic补丁。