Oracle WebLogic CVE-2022-21350 漏洞分析

漏洞简述

这是一个反序列化漏洞,是一条新的gadget,在低版本的JDK中可能会造成RCE风险。

漏洞分析

测试环境weblogic14c版本,测试JDK 1.8版本。

首先会调用BadAttributeValueExpException.readObject方法

20220221165503-f5c09ed6-92f3-1

接着会调用SessionData.toString方法

20220221165523-0161b216-92f4-1

接着会调用SessionData.isDebuggingSession方法

20220221165534-07af9cdc-92f4-1

接着会调用SessionData.getAttribute方法

20220221165545-0e485de0-92f4-1

接着会调用SessionData.getAttributeInternal方法

20220221165554-13d1099c-92f4-1

接着会调用AttributeWrapperUtils.unwrapObject方法

20220221165602-18b4172e-92f4-1

接着会调用AttributeWrapperUtils.unwrapEJBObjects方法

20220221165614-1fd561f2-92f4-1

接着会调用BusinessHandleImpl.getBusinessObject方法

20220221165635-2c9882b6-92f4-1

接着会调用HomeHandleImpl.getEJBHome方法

20220221165655-385043be-92f4-1

可以看到这里调用了ctx.lookup方法

修复建议

及时更新补丁,参考oracle官网发布的补丁:

https://www.oracle.com/security-alerts/cpujan2022.html


本文转载自https://xz.aliyun.com/t/10908,只做本站测试使用,本文观点不代表安强科技社区立场。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月15日 下午3:40
下一篇 2022年3月15日 下午4:17

相关推荐

发表回复

您的电子邮箱地址不会被公开。