安全人员在甲骨文WebLogic服务器（WLS）中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725，其无需用户身份验证即可被远程利用，且CVSS评分达9.3分（满分10分），是一个关键漏洞。

甲骨文发布了一个安全警报，指出受此漏洞影响的服务器版本包括10.3.6.0和12.1.3.0。这个漏洞很容易被利用，黑色产业已经有很多攻击者用它来植入勒索程序，挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。

此漏洞的主要缺陷在于对反序列化的XML数据的验证不充分。通过特制的SOAP请求，攻击者可以在服务器上获得完整的代码执行权限。

具体而言，该漏洞存在于/_async/AsyncResponseService端点上的WLS的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。

当AsyncResponseService端点收到请求时，它会遍历handler列表，从而允许每个handler都有机会处理请求。一个名为WorkAreaServerHandler的特殊handler会用到WorkContextXmlInputAdapter，后者又用到XMLDecoder，这里就是漏洞的源头了。

XMLDecoder本质上与用来接收Serializable对象的ObjectInputStream非常相似，区别在于XMLDecoder使用XML格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容，任何Java对象都可以被反序列化。

不幸的是，这个漏洞并不是WebLogic或Java的第一个漏洞。2017年，WebLogic报告了一个类似的漏洞（CVE-2017-10271）。反序列化漏洞在Java中很常见，正如InfoQ文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞，Java 9引入了JEP-290。

甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有：阻止访问所有的/_async/*地址，或删除WAR文件以及同异步功能相关的所有文件。

查看英文原文：Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server

创作场景

甲骨文 WebLogic 服务器曝关键漏洞，无需身份验证即可被远程利用