一、背景介绍

      1月20日，市委网信办技术支撑单位监测到Oracle官方发布了Oracle Weblogic Server存在远程代码执行漏洞（CVE-2021-2109）。

      1.1漏洞描述

      WebLogic是美国Oracle公司出品的一款基于JAVAEE架构的中间件，是用于开发、集成、部署和管理大型分布式 Web应用、网络应用和数据库应用的Java应用服务器。远程攻击者可通过构造恶意请求进行 JNDI注入，通过执行任意代码，最终控制目标服务器。

      1.2漏洞编号

      CVE-2021-2109

      1.3漏洞等级

      高危

二、修复建议

      2.1受影响版本

      Oracle WebLogic Server 10.3.6.0.0

      Oracle WebLogic Server 12.1.3.0.0

      Oracle WebLogic Server 12.2.1.3.0

      Oracle WebLogic Server 12.2.1.4.0

      Oracle WebLogic Server 14.1.1.0.0

      2.2修复建议

      1.升级 Weblogic Server运行环境的 JDK版本；

      2.Oracle官方已发布了漏洞修复程序，请受影响的用户及时关注更新：

https://www.oracle.com/security-alerts/cpujan2021.html