一、概要

近日，华为云检测到国家信息安全漏洞共享平台（CNVD）发布的关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告（CNVD-C-2019-48814），攻击者利用该漏洞可以在未授权的情况下远程执行命令，风险性高。截止4月27日，Oracle针对此漏洞发布官方公告并给出了修复补丁，该漏洞被定为 CVE-2019-2725。

华为云提醒各位租户及时安排自检并做好安全加固。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4999

https://support.oracle.com/rs?type=doc&id=2535708.1

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

Oracle WebLogic Server 10.X

Oracle WebLogic Server 12.1.3

四、处置方案

截止4月27日，Oracle官方发布针对此漏洞的修复补丁，请受影响的租户尽快访问下面链接并按照文档中的步骤进行修复：

https://support.oracle.com/rs?type=doc&id=2535708.1

其他缓解方案：

参考以下任意一项缓解方案在不影响自身业务的情况下进行安全加固。

1. 查找并删除wls9_async_response.war、 wls-wsat.war这两个受影响组件，然后重启Weblogic服务；

2. 通过访问策略控制，禁止 /_async/* 路径的URL访问，目前华为云WAF的精准访问防护功能可防御该漏洞攻击。

注：修复漏洞前请将资料备份，并进行充分测试。华为云将持续关注漏洞后续进展和官方补丁动态，请各位租户留意。