一、漏洞描述OracleWebLogicServer远程代码执行漏洞（CVE-2020-14882）POC被公开，未经身份验证)的远程攻击者可通过构造特殊的HTTPGET请求，结合CVE-2020-14883漏洞进行利用，利用此漏洞可在未经身份验证的情况下直接接管WebLogicServerConsole，并执行任意代码，利用门槛低，危害巨大二、weblogicWebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。三、影响范围Orac

漏洞名称Weblogic未授权访问漏洞-CVE-2020-14882&&CVE-2020-14883漏洞描述Weblogic管理控制台未授权远程命令执行漏洞(CVE-2020-14882，CVE-2020-14883)。CVE-2020-14882:允许未授权的用户绕过管理控制台的权限验证访问后台CVE-2020-14883:允许后台任意用户通过HTTP协议执行任意命令使用这两个漏洞组成的利用链，可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。受影响版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

weblogic漏洞复现整理汇总（vulhub）目录weblogic漏洞复现整理汇总（vulhub）一、概述二、任意文件上传漏洞（CVE-2018-2894）三、XMLDecoder反序列化漏洞（CVE-2017-10271）四、反序列化漏洞（CVE-2018-2628）五、未授权命令执行漏洞（CVE-2020-14882）根据vulhub已有的复现环境，对weblogic漏洞复现进行一个汇总，包括RCE、未授权任意文件上传、反序列化漏洞等，方便今后回顾学习一、概述weblogic是oracle出品的java中间件端口是7001默认后台登录地址：http://your-ip:7001/cons

Oracle于美国时间2023年4月18日发布了OracleWebLogic中间件产品2023年第二季度的安全公告，涉及漏洞共计16 个。本次发布的漏洞无高危漏洞。此外，OracleJDK1.8的小版本号已经分别升级到了371（OracleJDK8Update371），JDK7版本的官方补丁更新已经结束，版本号已停留在1.7.0_351。OPatch的最新版本号已经更新为：13.9.4.2.12。目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个，分别为12c（12.2.1.3.0、12.2.1.4.0）、14c（14.1.1.0.0），该三个版本的补丁技术支持日期分别到2022

解决weblogic安全扫描访问路径漏洞问题一、weblogic修改控制台console访问路径url二、weblogic控制台的启动与禁用在⼀些安全漏洞扫描中，经常会扫描发现，使⽤weblogic管理控制台，会有个中危的漏洞。出于安全的考虑需要对weblogic的console进行屏避，或者修改默认的访问路径，主要有两种方法,任选一种即可：（这里针对weblogic11g10.3.6.0）一、weblogic修改控制台console访问路径url1、进入默认的控制台，例如“localhost/console”登录进入weblogic控制台，后点击首页的“域”点击页面下方“高级”选项点击“锁定

我正在使用安装了JRockit的weblogic10.3.6。我正在使用64位系统，以Linux作为操作系统。我在其中安装了一个adf应用程序。只有几个用户在使用该应用程序。但是安装WLS的服务器机器每周都会停机，导致内存不足。所以我们必须每周重新启动它。当我浏览时，我发现可以通过调整堆大小和其他内存参数来使WebLogic更加稳定。示例:--Xms256m--Xmx512mMaxPermsize为128m我的问题是这些参数是什么？这些论点之间有什么关系？如何确定这些参数的值？内存不足问题还有哪些其他原因？谢谢，拉克什 最佳答案 X

我正在使用安装了JRockit的weblogic10.3.6。我正在使用64位系统，以Linux作为操作系统。我在其中安装了一个adf应用程序。只有几个用户在使用该应用程序。但是安装WLS的服务器机器每周都会停机，导致内存不足。所以我们必须每周重新启动它。当我浏览时，我发现可以通过调整堆大小和其他内存参数来使WebLogic更加稳定。示例:--Xms256m--Xmx512mMaxPermsize为128m我的问题是这些参数是什么？这些论点之间有什么关系？如何确定这些参数的值？内存不足问题还有哪些其他原因？谢谢，拉克什 最佳答案 X

从原生反序列化过程开始谈起。原生反序列化序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。大致是这么一个过程，简单画了个图：测试类如下：packageser;importjava.io.*;publicclassTestClassimplementsSerializable{privateStringtext;publicTestClass(){this.text="helloworld";}privatevoidreadObject(ObjectInputStreamois)throwsException{System.out.println

测试环境weblogic部署手册1.weblogic需要有jdk环境1.1通过xftp工具把jdk1.8的软件包传入到服务器的/usr/local中并解压cd/usr/localtar-zxfjdk-8u333-linux-x64.tar.gz[root@hjc~]#cd/usr/local[root@hjclocal]#lsaegisbinetcgamesincludejdk-8u333-linux-x64.tar.gzliblib64libexecsbinsharesrc[root@hjclocal]#tar-zxfjdk-8u333-linux-x64.tar.gz1.2配置java的环

1、漏洞概述Oracle官方发布了2021年7月份安全更新通告，通告中披露了WebLogic组件存在高危漏洞，攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogicServer组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogicServer。这是一个二次反序列化漏洞，是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。2、影响范围OracleWebLogicServer10.3.6.0.0OracleWebLogicServer12.1.3.0.0OracleWebLogicServer12