升級包下載：csv_vul_plugins_20190627.zip

Weblogic反序列化遠程代碼執(zhí)行漏洞(CVE-2019-2725)

描述：
Weblogic服務對SOAP消息內容過濾不嚴格，導致攻擊者可以構造惡意SOAP消息內容進行XMLDecoder反序列化。此漏洞使得惡意攻擊者可以通過Weblogic服務執(zhí)行任意代碼，風險很大，需要及時修復。
影響版本：10.3.6.0.0 和 12.1.3.0.0
解決方案：
Oracle已發(fā)布CVE-2019-2725的補丁，請到以下路徑下載安裝： 
  https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
  臨時規(guī)避方案：
  1. 刪除wls9_async_response.war和wls-wsat.war文件及相關文件夾并重啟Weblogic服務
  2. 通過訪問策略禁止 /_async/* 路徑的URL訪問

Weblogic反序列化遠程代碼執(zhí)行漏洞(CVE-2019-2729)
描述：
Weblogic服務對SOAP消息內容過濾不嚴格，導致攻擊者可以構造惡意SOAP消息內容進行XMLDecoder反序列化。此漏洞使得惡意攻擊者可以通過Weblogic服務執(zhí)行任意代碼，風險很大，需要及時修復。
影響版本：10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
解決方案：
Oracle已發(fā)布CVE-2019-2729的補丁，請到以下路徑下載安裝： 
  https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
臨時規(guī)避方案：
  1. 刪除wls9_async_response.war和wls-wsat.war文件及相關文件夾并重啟Weblogic服務
  2. 通過訪問策略禁止 /_async/* 路徑的URL訪問
  3. 升級Java版本

升級包適用于聚銘配置安全評估系統(tǒng)Pro.2019.01.16.001965及以上版本