CVE-2018-2628 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Oracle WebLogic Server 的 WLS 核心组件存在 **反序列化漏洞**。 💥 **后果**：攻击者可通过 **T3 协议** 发送恶意数据，实现 **远程代码执行 (RCE)**，直接控制服务器。

🔍 **缺陷点**：**不安全的反序列化**。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心在于对 T3 协议传入数据的 **信任与解析逻辑缺陷**。

🏢 **厂商**：Oracle Corporation。 💻 **产品**：**Oracle WebLogic Server**。 📦 **组件**：**WLS Core**（核心组件）。 📅 **时间**：2018年4月19日发布。

👑 **权限**：获得 **服务器最高权限**（System/User权限取决于运行环境）。 📂 **数据**：可读取、篡改、删除服务器上的 **所有数据**，甚至横向移动攻击内网。

🚪 **利用门槛**：**低**。 🌐 **网络**：需暴露 **T3 端口**（默认7001）。 🔑 **认证**：通常无需认证即可利用（具体视配置而定，但PoC显示可直接利用）。

💣 **Exp/PoC**：**有**。 🔗 **来源**：GitHub 上有多个 PoC（如 `forlin`, `shengqi158`, `skydarker` 等仓库）。 🌍 **在野**：Exploit-DB 上有编号 46513 和 44553 的利用代码。

🔎 **自查方法**： 1️⃣ **扫描**：使用 GitHub 上的批量检测脚本（如 `weblogic_poc-cve-2018-2628-update.py`）。 2️⃣ **特征**：通过 T3 协议发送特定载荷，观察响应长度或异常。 3️⃣ **工具**：使用绿盟等厂商提供的检测工具。

🛡️ **官方修复**：**已发布补丁**。 📝 **建议**：立即升级 Oracle WebLogic Server 至安全版本，或应用官方提供的 **CPU (Critical Patch Update)** 补丁。

🚧 **临时规避**： 1️⃣ **网络隔离**：在防火墙中 **禁止** 外部访问 T3 端口（7001）。 2️⃣ **协议禁用**：在 WebLogic 控制台 **禁用 T3 协议**，仅保留 IIOP 或 HTTP。 3️⃣ **访问控制**：限制管理端口的 IP 访问。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：远程无认证 RCE，利用简单，危害极大。建议 **立即修复**，切勿拖延！