删除文件 cve/weblogic/2020/yaml/cve-2020-14882.yaml

2023-03-30 08:56:31 +00:00 · 2023-03-30 08:56:31 +00:00 · 1777d2eaa7
parent ee55c5acc6
commit 1777d2eaa7
1 changed files with 0 additions and 20 deletions
--- a/cve/weblogic/2020/yaml/cve-2020-14882.yaml
+++ b/cve/weblogic/2020/yaml/cve-2020-14882.yaml
@ -1,20 +0,0 @@
-id: CVE-2020-2551
-source: https://github.com/hktalent/CVE-2020-2551
-info:
-  name: WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
-  severity: critical
-  description: |
-    这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了,T3协议使用的是resolveClass方法去过滤的,resolveClass方法是会读取父类的,所以T3协议这样过滤是没问题的。但是IIOP协议这块,虽然也是使用的这个黑名单列表,但不是使用resolveClass方法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表里面的,它的父类才在黑名单列表里面,这样就可以反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。
-  scope-of-influence:
-    weblogic 10.3.6.0.0, weblogic 12.1.3.0.0, weblogic 12.2.1.3.0, weblogic 12.2.1.4.0
-  reference:
-    - https://www.oracle.com/security-alerts/cpujan2020.html
-    - https://nvd.nist.gov/vuln/detail/CVE-2020-2551
-  classification:
-    cvss-metrics:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
-    cvss-score: 9.8
-    cve-id: CVE-2020-2551
-    cwe-id: None
-    cnvd-id: None
-    kve-id: None
-  tags: cve2020, Weblogic, 反序列化