PT-2020-4554 · Oracle · Oracle Weblogic Server
0Rich1
+6
·
Publicado
2020-10-21
·
Atualizado
2020-11-10
·
CVE-2020-14841
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server, versões 10.3.6.0.0 a 14.1.1.0.0
Descrição
O problema está relacionado à validação insuficiente de entradas no Oracle WebLogic Server, permitindo que um invasor remoto execute código arbitrário por meio do protocolo IIOP. Isso pode resultar na tomada de controle do Oracle WebLogic Server. A vulnerabilidade pode ser facilmente explorada por um invasor não autenticado com acesso à rede.
Recomendações
Para as versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0, considere desativar o protocolo IIOP até que um patch esteja disponível para impedir a exploração.
Como solução alternativa temporária, restrinja o acesso ao componente Core do Oracle WebLogic Server para minimizar o risco de exploração.
Evite usar o protocolo IIOP nas versões afetadas do Oracle WebLogic Server até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server