PT-2022-2101 · Oracle · Oracle Weblogic Server
Thiscodecc
·
Publicado
2022-01-18
·
Atualizado
2022-01-24
·
CVE-2022-21350
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server, versões 12.1.3.0.0 a 12.2.1.4.0
Oracle WebLogic Server, versão 14.1.1.0.0
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Oracle WebLogic Server Core. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado para ler, modificar ou excluir dados, ou para causar uma negação de serviço usando protocolos de rede T3. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dos dados acessíveis do Oracle WebLogic Server e podem causar uma negação de serviço parcial.
Recomendações
Para as versões 12.1.3.0.0 a 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema.
Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server