主动攻击下的新关键Oracle WebLogic漏洞，现在修补

据甲骨文称，该漏洞，可以确定为CVE-2019-2729CVSS得分为9.8分（满分10分）—分，已经被一个未具名的攻击者在野外利用。

Oracle WebLogic是一个基于Java的多层企业应用服务器，允许企业在云上快速部署新产品和服务，这在云环境和传统环境中都很流行。

报告的漏洞是通过Oracle WebLogic Server Web服务中的XMLDecoder进行反序列化的问题，该漏洞可能允许未经授权的远程攻击者在目标服务器上执行任意代码并控制它们。

“这种远程代码执行漏洞可以在无需身份验证的情况下被远程利用，也就是说，可以在不需要用户名和密码的情况下通过网络进行攻击，”该顾问说。

在另一份声明中，该公司还透露，该漏洞与之前已知的反序列化漏洞有关(CVE-2019-2725)在甲骨文WebLogic服务器上，它在今年4月进行了修补。

攻击者还利用Oracle WebLogic中先前修补的RCE漏洞作为零日攻击，即分发Sodinokibi勒索软件和加密货币挖掘恶意软件。

新漏洞由一组独立的个人和组织报告，影响到Oracle WebLogic Server版本10.3.6.0.0、12.1.3.0.0和12.2.1.3.0

由于该漏洞的严重性，该公司建议受影响的用户和公司尽快安装可用的安全更新。

Oracle的其他重要安全更新

除此之外，思科今天还为其各种产品发布了一些其他软件更新，以解决一些关键和高严重性漏洞。

• 思科远程呈现，该软件是Cisco开发的视频会议系统，包含一个严重性很高的漏洞，远程攻击者只需向受影响的设备发送精心编制的CDP数据包，即可在目标设备上执行任意shell命令或脚本。
• 思科SD-WAN解决方案，Cisco软件定义的WAN解决方案的vManage基于web的界面包含三个缺陷，其中两个被评定为严重性较高，一个是严重缺陷。其中两个漏洞允许攻击者将其权限提升到根用户，而一个漏洞则允许经过身份验证的远程攻击者以根用户权限执行任意命令。
• 思科路由器管理接口，Cisco的RV110W、RV130W和RV215W路由器包含拒绝服务漏洞，未经验证的攻击者可能会导致重新加载受影响的设备。此产品中的另一个缺陷受到中等严重性问题的影响，该问题可能会将连接到来宾网络的设备列表暴露给远程攻击者。