Oracle выпустила внеплановое обновление для WebLogic Server

Oracle выпустила внеплановое обновление для WebLogic Server

Alexander Antipov

Внеплановое обновление исправляет критическую уязвимость, уже эксплуатирующуюся киберпреступниками.

image

Компания Oracle выпустила внеплановое обновление, исправляющее критическую уязвимость в WebLogic Server. Уязвимость получила идентификатор CVE-2020-14750 и оценку 9,8 балла из максимальных 10 по шкале оценивания опасности уязвимостей CVSS. Проблема связана с другой уязвимостью в WebLogic Server ( CVE-2020-14882 ), исправленной в прошлом месяце и очень простой в эксплуатации.

Атаки с использованием CVE-2020-14882 начались на прошлой неделе после того, как вьетнамский разработчик опубликовал PoC-эксплоит. Когда исследователи безопасности обнаружили , что патч для уязвимости можно легко обойти, ей был присвоен идентификатор CVE-2020-14750.

«Данное уведомление безопасности исправляет CVE-2020-14750, уязвимость удаленного выполнения кода в WebLogic Server. […] Она легко эксплуатируется без аутентификации, то есть, может быть проэксплуатирована в сети без необходимости введения логина и пароля», — сообщается в уведомлении безопасности Oracle.

Уязвимость затрагивает версии WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0. Для ее эксплуатации у атакующего должен быть доступ к сети по HTTP. Успешная эксплуатация уязвимости может позволить злоумышленнику получить полный контроль над Oracle WebLogic.

Как сообщают специалисты чешской ИБ-компании Cybersecurity Help, уязвимость существует из-за недостаточной проверки подлинности входных данных. Злоумышленник может отправить особым образом сконфигурированный запрос, выполнить произвольный код и в итоге скомпрометировать уязвимую систему.

Сама Oracle не раскрывает подробностей о проблеме, но предупреждает, что эксплоит для нее уже доступен в Сети. В связи с этим рекомендуется как можно скорее установить обновление.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab