CVE-2021-1996

Oracle WebLogic Server, versões 10.3.6.0.0 a 12.1.3.0.0

O problema está relacionado a um controle de acesso insuficiente no componente Web Services do Oracle WebLogic Server, permitindo que um invasor com privilégios elevados e acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos exigem interação humana de uma pessoa que não seja o invasor e podem resultar em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle WebLogic Server.

Para as versões 10.3.6.0.0 e 12.1.3.0.0, considere restringir o acesso ao componente Web Services até que uma correção esteja disponível.

Como solução alternativa temporária, limite o uso do protocolo HTTP para acesso remoto a fim de minimizar o risco de exploração.

Evite depender da interação do usuário para prevenir ataques e, em vez disso, concentre-se em proteger a configuração do servidor para impedir o acesso não autorizado.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.