PT-2020-1527 · Oracle · Oracle Weblogic Server
Looke
·
Publicado
2020-01-14
·
Atualizado
2022-06-30
·
CVE-2020-2547
CVSS v2.0
4.9
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0
Descrição
O problema está relacionado a um controle de acesso insuficiente no componente Console do Oracle WebLogic Server, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas por meio do protocolo HTTP. Ataques bem-sucedidos requerem interação humana e podem resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebLogic Server, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle WebLogic Server.
Recomendações
Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Console até que um patch esteja disponível.
Como solução alternativa temporária, limite o acesso à rede via HTTP para minimizar o risco de exploração.
Evite usar o componente Console do Oracle WebLogic Server até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server