CVE-2020-14750 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Oracle WebLogic Server 控制台存在安全漏洞。 💥 **后果**:攻击者无需身份验证,即可通过 HTTP 远程执行代码 (RCE),彻底破坏服务器安全。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:控制台访问控制失效。 📝 **CWE**:数据中未提供具体 CWE ID,但核心问题是**未授权访问**导致的远程代码执行。
Q3影响谁?(版本/组件)
🏢 **厂商**:Oracle Corporation。 📦 **产品**:WebLogic Server / Fusion Middleware Console。 📅 **受影响版本**: - 10.3.6.0.0 - 12.1.3.0.0 - 12.2.1.3.0 - 12.2.1.4.0 - 14.1.1.0.0
Q4黑客能干啥?(权限/数据)
🕵️ **黑客权限**: - **无需登录**:完全绕过身份验证。 - **完全控制**:获取机器最高权限。 - **数据窃取**:获取敏感信息。 - **数据篡改**:修改系统数据。 - **恶意植入**:执行恶意软件。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**: - **认证**:❌ 不需要。 - **网络**:仅需 HTTP 可达。 - **复杂度**:AC:L (低复杂度)。 - **CVSS**:9.8 (危急)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **有现成 Exp**: - ✅ **PoC 公开**:GitHub 上有多个 PoC 脚本(如 pprietosanchez, kkhacklabs)。 - 📡 **扫描器支持**:Nuclei 模板已更新,可快速批量检测。 - ⚠️ **在野风险**:高,因利用简单且无需认证。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **脚本测试**:使用 GitHub 上的 `test-CVE-2020-14750` 脚本,传入 `host:port`。 2. **扫描器**:使用 Nuclei 模板 `http/cves/2020/CVE-2020-14750.yaml` 进行扫描。 3. **注意**:脚本返回负结果不绝对代表安全,建议结合多种手段验证。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: - ✅ **已发布补丁**:参考 Oracle 2020年10月关键补丁更新 (CPU)。 - 📄 **官方公告**:见 Oracle Security Alerts 链接。 - 💡 **提示**:该漏洞与 CVE-2020-14882 相关,建议一并关注。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: - **网络隔离**:禁止 WebLogic 控制台端口对公网开放。 - **访问控制**:配置防火墙/WAF,仅允许信任 IP 访问控制台路径。 - **关闭服务**:如非必须,暂时停用受影响的服务实例。
Q10急不急?(优先级建议)
🔥 **优先级:极高 (P0)**。 - **CVSS 9.8**:几乎满分危急。 - **无认证**:任何人可攻击。 - **RCE**:直接拿服务器权限。 - **建议**:立即升级至最新安全版本或应用官方补丁!