WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

2019年4月17日，国家信息安全漏洞共享平台（CNVD）收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞获取服务器权限，实现远程代码执行。根据国家信息安全漏洞共享平台（CNVD）漏洞公告，此漏洞存在于异步通讯服务，可通过访问路径/_async/AsyncResponseService，判断不安全组件是否开启。目前可以在网上搜索到POC,CVE编号为（CVE-2019-2725）。[出自:jiwo.org]

wls9-async组件为WebLogic Server提供异步通讯服务，默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可获得目标服务器的权限，在未授权的情况下远程执行命令。

影响版本
Oracle WebLogic Server 10.*
Oracle WebLogic Server 12.1.3

影响组件
bea_wls9_async_response.war
wls-wsat.war

二、漏洞复现

漏洞环境
Oracle WebLogic Server10.3.6.0.0

判断组件是否存在

1、可通过访问路径/_async/AsyncResponseService判断wls9_async_response组件是否存在。

2、可通过访问路径/wls-wsat/CoordinatorPortType判断wls-wsat组件是否存在。

验证poc

访问路径：目标IP：端口/_async/AsyncResponseService利用抓包工具抓包（这里使用的是burp）后发送到重放功能里，然后更改数据为poc（注意更改poc的目标地址和请求方式），这里测试命令为whoami，修改完毕点击发送数据后可以看到成功返回当前用户为weblogic。也可以利用相对应的poc测试wls-wsat组件漏洞步骤相同