CVE-2025-21535 Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware
CVSS score: 9.8
Severity: Critical
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Mô tả
Oracle đã công bố một thông báo bảo mật về lỗ hổng thực thi mã từ xa (RCE) trên Oracle WebLogic Server. Khi các giao thức T3/IIOP được kích hoạt, kẻ tấn công không cần xác thực có thể gửi yêu cầu đặc biệt tới máy chủ thông qua giao thức T3/IIOP để thực thi mã độc tùy ý trên hệ thống mục tiêu, dẫn đến việc chiếm quyền điều khiển máy chủ từ xa. Điểm CVSS của lỗ hổng là 9.8. Người dùng bị ảnh hưởng cần áp dụng biện pháp phòng ngừa càng sớm càng tốt.
Các phiên bản ảnh hưởng
- Weblogic 12.2.1.4.0
- Weblogic 14.1.1.0.0
Lưu ý: Phạm vi trên là phạm vi ảnh hưởng mà Oracle vẫn chính thức hỗ trợ bảo trì tại thời điểm hiện tại và nhiều phiên bản WebLogic Server như 10.3.6.0, 11.1.1.9 và 12.1.3.0 đã ngừng bảo trì.
Ngăn chặn
- Phát hiện cục bộ: Người dùng có thể chạy lệnh sau để kiểm tra phiên bản WebLogic và thông tin cài đặt bản vá
Nếu kết quả không hiển thị thông tin vá lỗi (như minh họa trong hình bên dưới), hệ thống đang tồn tại nguy cơ bị tấn công.
- Kiểm tra giao thức T3
Công cụ Nmap cung cấp script quét giao thức T3 của WebLogic để phát hiện các máy chủ kích hoạt dịch vụ T3. Lệnh thực thi như sau:
nmap -n -v -Pn –sV [địa chỉ máy chủ hoặc dải mạng] -p7001,7002 –script=weblogic-t3-info.nse
Như minh họa trong khung đỏ của hình dưới, mục tiêu đã kích hoạt giao thức T3 và phiên bản WebLogic nằm trong phạm vi bị ảnh hưởng. Nếu quản trị viên liên quan chưa cài đặt bản vá bảo mật chính thức từ Oracle, hệ thống sẽ tồn tại lỗ hổng.
Biện pháp khắc phục
- Oracle đã phát hành bản vá khắc phục lỗ hổng này. Cập nhật lên WebLogic Server 12.2.1.4.230123 và WebLogic Server 14.1.1.0.230123 — các phiên bản đã bao gồm bản sửa lỗi cho CVE-2025-21535.
- Giới hạn truy cập vào giao diện WebLogic Server bằng tường lửa hoặc danh sách kiểm soát truy cập (ACL).
Tham khảo