CVE-2020-2967

Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0

O problema está relacionado à validação insuficiente de entradas no componente Web Services do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via protocolos IIOP e T3 comprometa o servidor. Ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos ou acesso total a todos os dados acessíveis pelo Oracle WebLogic Server.

Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, considere restringir o acesso ao componente Web Services até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar o uso dos protocolos IIOP e T3 para minimizar o risco de exploração.

Restrinja o acesso a dados críticos e garanta que controles de acesso à rede adequados estejam em vigor para reduzir o impacto de um possível ataque.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.