【漏洞通告】Oracle WebLogic Server远程代码执行与拒绝服务漏洞

近日，绿盟科技CERT监测到Oracle发布安全公告，其中修复了Oracle WebLogic Server远程代码执行和拒绝服务漏洞，请相关用户尽快采取措施进行防护。

CVE-2025-21535：当T3/IIOP协议开启时，未经身份验证的攻击者通过T3/IIOP协议向服务器发送特制的请求，可实现在目标系统上执行任意代码，导致服务器被远程接管。CVSS评分9.8。

CVE-2025-21549：由于HTTP/2协议的设计缺陷，未经身份验证的攻击者可通过向WebLogic Server发送特制的数据包，导致服务器宕机或频繁崩溃。CVSS评分7.5。

Oracle WebLogic Server是一款企业级Java应用服务器，用于部署、运行和管理基于Java的Web应用程序和企业应用程序。它广泛应用于企业中间件环境，是Oracle Fusion Middleware技术堆栈的核心组件之一。

参考链接：

https://www.oracle.com/security-alerts/cpujan2025.html

3.1 本地检测

用户可使用如下命令对WebLogic版本和补丁安装的情况进行排查。

在显示结果中，如果没有补丁安装的信息，则说明存在风险，如下图所示：

3.2 T3协议探测

Nmap工具提供了WebLogic T3协议的扫描脚本，可探测开启T3服务的WebLogic主机。命令如下：

如下图红框所示，目标开启了T3协议且WebLogic版本在受影响范围之内，如果相关人员没有安装官方的安全补丁，则存在漏洞风险。

4.1 补丁更新

目前Oracle已发布补丁修复了上述漏洞，请用户参考官方通告及时下载受影响产品更新补丁，并参照补丁安装包中的readme文件进行安装更新，以保证长期有效的防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

4.2 临时防护措施

如果用户暂时无法安装更新补丁，可通过下列措施对高危漏洞进行临时防护。

4.2.1 限制T3协议访问

用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对T3及T3s协议进行访问控制，详细操作步骤如下：

1. 进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2. 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，参考以下写法，在连接筛选器规则中配置符合企业实际情况的规则：

3. 保存后若规则未生效，建议重新启动WebLogic服务（重启WebLogic服务会导致业务中断，建议相关人员评估风险后，再进行操作）。以Windows环境为例，重启服务的步骤如下：

进入域所在目录下的bin目录，在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务，Linux系统中则运行stopWebLogic.sh文件。