【风险详情】

   近日，国家信息安全漏洞共享平台（CNVD）收录并发布了Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。攻击者利用该漏洞，可在未授权的情况下远程执行命令并接管服务器，风险极大，目前，官方补丁尚未发布，漏洞细节未公开。

【风险评级】

高危

【影响范围】

该漏洞的影响版本如下：

WebLogic 10.X

WebLogic 12.1.3

【修复建议】

Oracle官方暂未发布补丁，建议受影响的用户按如下临时方案及时修复：

1、 删除bea_wls9_async_response相关组件并重启WebLogic，如：bea_wls9_async_response.war和com.oracle.webservices.wls.bea-wls9-async-response_*.war；

2、 通过访问策略控制禁止 /_async/* 路径的URL访问。

【参考链接】

http://www.cnvd.org.cn/webinfo/show/4989

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。