各有关单位：

据国家通报中心通报，2018年4月18日，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的Weblogic反序列化漏洞（CVE-2018-2628），通过该漏洞，攻击者无需认证即可远程执行代码。

一、漏洞情况分析

该漏洞为 Oracle 融合中间件（子组件：WLS 核心组件）的 Oracle WebLogic Server 组件中的漏洞，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。此漏洞产生于Weblogic T3服务，当开放Weblogic控制台端口（默认为7001端口）时，T3服务会默认开启。WebLogic在国内的的应用范围比较广，支撑着很多企业的核心业务，被政府、金融机构、传统企业广泛使用。

经有关部门分析确认该漏洞可用，漏洞相关的技术细节和验证程序已经公开，互联网上受影响的主机数目较多。此漏洞极有可能被利用来执行大规模的攻击，构成现实威胁。

二、漏洞影响范围

目前，已知受影响的版本有：Weblogic 10.3.6.0；Weblogic 12.1.3.0；Weblogic 12.2.1.2和Weblogic 12.2.1.3。

三、应对措施

1.官方修复。Oracle 官方已在关键补丁更新（CPU）中修复了该漏洞，但仅支持正版软件的许可账号登录下载补丁。下载地址https://support.oracle.com。

2.临时处置措施。建议临时使用防火墙限制从不可信主机到被防护服务器7001端口的t3和t3s协议。