CVE-2020-2883

Oracle WebLogic Server, versões 10.3.6.0.0 a 12.2.1.4.0

O problema está relacionado ao componente Core do Oracle WebLogic Server e é causado por um controle de acesso inadequado. Ele permite que um invasor não autenticado com acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade é facilmente explorável e já foi explorada na prática. Estima-se que mais de 300 servidores vulneráveis possam ser explorados, levando a graves ameaças à segurança.

Para as versões 10.3.6.0.0 a 12.2.1.4.0, atualize para uma versão que inclua a correção para este problema, conforme fornecido na Atualização de Patches Críticos de abril de 2020 da Oracle. Como solução alternativa temporária, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração. Além disso, desativar a desserialização de dados não confiáveis no protocolo T3 pode ajudar a mitigar o problema até que um patch seja aplicado.