Oracle WebLogic CVE-2022-21350 漏洞分析
墨云安全 历史精选 5235浏览 · 2022-03-01 15:52

漏洞简述

这是一个反序列化漏洞,是一条新的gadget,在低版本的JDK中可能会造成RCE风险。

漏洞分析

测试环境weblogic14c版本,测试JDK 1.8版本。

首先会调用BadAttributeValueExpException.readObject方法

接着会调用SessionData.toString方法

接着会调用SessionData.isDebuggingSession方法

接着会调用SessionData.getAttribute方法

接着会调用SessionData.getAttributeInternal方法

接着会调用AttributeWrapperUtils.unwrapObject方法

接着会调用AttributeWrapperUtils.unwrapEJBObjects方法

接着会调用BusinessHandleImpl.getBusinessObject方法

接着会调用HomeHandleImpl.getEJBHome方法

可以看到这里调用了ctx.lookup方法

修复建议

及时更新补丁,参考oracle官网发布的补丁:

https://www.oracle.com/security-alerts/cpujan2022.html

3 条评论
某人
表情
可输入 255
李三
2022-03-02 05:06 0 回复

@thiscodecc 感谢师傅解答。


thiscodecc
2022-03-02 03:19 0 回复

@李三 这个漏洞是我2021年8月25日提交给oracle的,oracle已经发布了ABBREV_CLASSES白名单,这个漏洞不能在t3协议中进行利用,只能在iiop协议中进行利用。官网写t3不清楚是为什么。


cvss评分不是9.8而是6.5分,是因为oracle在2021年7月份补丁中 把weblogic启动信息和console控制台中加了提示jdk的最低版本是1.8.0_191,低于这个版本的jdk会存在一个已知的漏洞(低于这个版本的jdk才会有这个提示)。这个提示信息是用来修复CVE-2021-2382漏洞,CVE-2021-2382漏洞没有做其他防御措施 只加入了这个提示信息。由于jndi注入漏洞在1.8.0_191及以上版本中没有rce风险,只能存在类似ssrf这种风险。所以weblogic从2021年7月份之后把只能jndi注入的漏洞cvss评分都弄成6.5分了。


李三
2022-03-02 02:21 0 回复

请问一下,师傅交这个洞的时候,Oracle发布关于ABBREV_CLASSES白名单补丁了吗?因为官网写的t3/6.5分。个人比较好奇影响评分的是JNDI的原因还是ABBREV_CLASSES白名单的原因。