一  漏洞概述

1.1 简介

WebLogic[1] 是美国Oracle公司出品的一个应用服务器，是一个基于JAVAEE架构的中间件，

WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java

应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、

部署和管理之中。 2018年10月17日，Oracle官方发布了10月份的安全补丁[2]，其中修复了一个

Web服务测试组件的XXE漏洞(CVE-2018-3246)。 2018年10月29日，Seebug平台收录了该漏洞[3]，

知道创宇404漏洞应急团队开始对该漏洞进行漏洞应急。

1.2 影响版本

• WebLogic 12.1.3.0
• WebLogic 12.2.1.3

1.3 漏洞利用条件

• Web 服务测试组件在开发模式下无需认证，在生产模式下需要认证。
• JDK 版本小于 8(jdk8 默认禁止外部 DTD)。

 

二 漏洞复现

2.1 复现环境

• WebLogic 12.2.1.3

2.2 复现过程及结果

由于这个 XXE 没有回显，所以需要借助外部服务器来接受数据，此处以读取/etc/passwd文

件的内容为例。

a. 使用xxer.py[4]来模拟外部的HTTP服务器和FTP服务器，供目标服务器下载恶意DTD文件

及接收返回的数据。

b.构造恶意文件上传，将以下内容保存为1.xml 文件。

c.在导入测试用例处将上面构造的恶意文件上传。

d.可以在FTP服务器中看到返回的数据。

 

三 漏洞影响

根据 ZoomEye 网络空间搜索引擎对 WebLogic 服务的搜索结果[5]，共找到 84663 条历史记录。

 

四 防护方案

1、Oracle官方已经在10月份中的补丁中修复了该漏洞，建议受影响的用户尽快升级更新进行防护。

2、使用第三方防火墙进行防护(如创宇盾[https://www.yunaq.com/cyd/])

3、技术业务咨询：

知道创宇技术业务咨询热线：400-060-9587（政府、国有企业）

                                                028-68360638（互联网企业）

五 相关链接

[1] WebLogic 官网
https://www.oracle.com/middleware/weblogic/index.html

[2] 官方公告
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

[3] Seebug 收录
https://www.seebug.org/vuldb/ssvid-97632

[4] xxer.py
https://github.com/hackping/XXEpayload

[5] ZoomEye 网络空间搜索引擎
https://www.zoomeye.org/searchResult?q=weblogic