漏洞编号：CVE-2019-2729

风险等级：紧急

CVSS分值：10.0

受影响版本：

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0                       

 漏洞描述：

CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷，攻击者可以通过发送精心构造的恶意 HTTP 请求，用于获得目标服务器的权限，并在未授权的情况下执行远程命令，最终获取服务器的权限。针对此漏洞，官方已经发布补丁，所以强烈建议受到影响的用户尽快下载官方最新补丁，以防服务器处于高风险之中。

请参考：

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

https://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/5570935.xml 

修复建议：

1、最终解决方法：

- 根据Oracle安全公告：CVE-2019-2729，更新相应的补丁程序。

2、临时解决办法：

反序列化问题是由Oracle WebLogic中的“wls9_async”和“wls-wsat”组件触发。对此有两种缓解方案

 a、删除“wls9_async_response.war”和“wls-wsat.war”然后重新启动WebLogic服务

 b、对URL“/ _async / *”和“/ wls-wsat / *”的URL访问实施访问策略控制