安全人員在甲骨文 WebLogic 服務(wù)器(WLS)中發(fā)現(xiàn)了一個(gè)新的可遠(yuǎn)程利用的©洞。該©洞編號(hào) CVE-2019-2725 ，其無(wú)需用戶身份驗(yàn)證即可被遠(yuǎn)程利用，且 CVSS 評(píng)分達(dá) 9.3 分(滿分 10 分)，是一個(gè)關(guān)鍵©洞。

甲骨文發(fā)布了一個(gè) 安全警報(bào) ，指出受此©洞影響的服務(wù)器版本包括 10.3.6.0 和 12.1.3.0。這個(gè)©洞很容易被利用，黑色產(chǎn)業(yè)已經(jīng)有很多攻擊者用它來(lái)植入 勒索程序 ， 挖礦程序 及其它惡意程序。甲骨文“強(qiáng)烈建議客戶盡快應(yīng)用更新”。

此©洞的主要缺陷在于對(duì)反序列化的 XML 數(shù)據(jù)的驗(yàn)證不充分。通過(guò)特制的 SOAP 請(qǐng)求，攻擊者可以在服務(wù)器上獲得完整的代碼執(zhí)行權(quán)限。

具體而言，該©洞存在于 /_async/AsyncResponseService 端點(diǎn)上的 WLS 的異步組件中。此端點(diǎn)是用于處理異步請(qǐng)求——響應(yīng)功能的內(nèi)部端點(diǎn)。

當(dāng) AsyncResponseService 端點(diǎn)收到請(qǐng)求時(shí)，它會(huì)遍歷 handler 列表，從而允許ÿ個(gè) handler 都有機(jī)會(huì)處理請(qǐng)求。一個(gè)名為 WorkAreaServerHandler 的特殊 handler 會(huì)用到 WorkContextXmlInputAdapter，后者又用到 XMLDecoder，這里就是©洞的源頭了。

XMLDecoder 本質(zhì)上與用來(lái)接收 Serializable 對(duì)象的 ObjectInputStream 非常相似，區(qū)別在于 XMLDecoder 使用 XML 格式而非二進(jìn)制格式來(lái)描述序列化對(duì)象。如果û有合適干凈的輸入內(nèi)容，任何 Java 對(duì)象都可以被反序列化。

不幸的是，這個(gè)©洞并不是 WebLogic 或 Java 的第一個(gè)©洞。2017 年，WebLogic 報(bào)告了一個(gè)類似的©洞( CVE-2017-10271 )。反序列化©洞在 Java 中很常見，正如 InfoQ 文章《 Java 序列化的狀態(tài) 》中所提到的一樣。為了阻止這類©洞，Java 9 引入了 JEP-290 。

甲骨文建議立即使用修補(bǔ)程序解決此問(wèn)題。其它非官方的建議有：阻止訪問(wèn)所有的 /_async/* 地址，或刪除 WAR 文件以及同異步功能相關(guān)的所有文件。