Oracle官方为 Weblogic Console CVE-2020-14882发布的补丁并不完善，存在被绕过的情况，且官方暂未发布针对该补丁绕过的解决方案。

在 Weblogic 安装了 10月最新补丁的情况下，攻击者通过绕过CVE-2020-14882的补丁，依然可以绕过 Console 控制台的权限校验，直接访问原本需要登录才能访问的各种资源和接口功能。

建议相关用户在官方解决方案发布前尽快采取防护措施！

Oracle官方CPU链接：

https://www.oracle.com/security-alerts/cpuoct2020.html

二、漏洞影响范围

• Oracle Weblogic Server 10.3.6.0.0

• Oracle Weblogic Server 12.1.3.0.0

• Oracle Weblogic Server 12.2.1.3.0

• Oracle Weblogic Server 12.2.1.4.0

• Oracle Weblogic Server 14.1.1.0.0

三、技术防护方案

在不影响正常业务的情况下，建议暂时对外关闭后台 /console/console.portal 的访问权限 ，或者对 Console 访问路径进行重命名（将默认的请求路径 console 更改为一个不易猜解的请求路径）。