漏洞公告：

2020年7月15日，Oracle官方发布了2020年7月安全更新公告，包含了其家族WebLogic Server在内的多个产品安全漏洞公告，其中有涉及IIOP、T3协议远程代码执行的高危漏洞，对应CVE编号：CVE-2020-14645，相关链接参考：

https://www.oracle.com/security-alerts/cpujul2020.html

根据公告，漏洞存在于Oracle WebLogic Server IIOP、T3协议中，恶意攻击者可通过此反序列化漏洞在目标系统中执行任意命令，从而获取管理权限，建议部署该服务的用户尽快测试和部署漏洞修复补丁或采取缓解措施加固系统。

漏洞描述：

根据分析，在Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0版本中，默认开启的IIOP、T3协议再次发现反序列化漏洞，恶意攻击者可通过该漏洞进行远程代码执行攻击，从而获取目标系统管理权限，此漏洞利用难度低，威胁风险较大，建议部署该服务的用户尽快测试和部署漏洞修复补丁或采取缓解措施加固系统。

影响范围：

CVE-2020-14645漏洞影响以下Oracle WebLogic Server版本：

WebLogic Server 10.3.6.0.0版本

WebLogic Server 12.1.3.0.0版本

WebLogic Server 12.2.1.3.0版本

WebLogic Server 12.2.1.4.0版本

WebLogic Server 14.1.1.0.0版本

补丁下载：用户可以登录Oracle官网下载安全更新补丁。

缓解措施：

目前漏洞细节和利用代码暂未公开，建议及时测试并升级到漏洞修复的版本。

安全运营建议：Oracle WebLogic历史上已经报过多个安全漏洞（其中多为反序列化漏洞），建议使用该产品的企业经常关注官方安全更新公告。