PT-2022-2103 · Oracle · Oracle Weblogic Server
Patrick Star
·
Publicado
2022-01-18
·
Atualizado
2022-01-24
·
CVE-2022-21353
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0
Oracle WebLogic Server, versão 14.1.1.0.0
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Oracle WebLogic Server Core. Isso pode ser explorado por um invasor remoto para obter acesso não autorizado para ler, modificar ou excluir dados, ou para causar uma negação de serviço usando protocolos de rede T3. Ataques bem-sucedidos podem resultar em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis pelo Oracle WebLogic Server e podem causar uma negação parcial de serviço do Oracle WebLogic Server.
Recomendações
Para as versões 12.2.1.3.0 e 12.2.1.4.0 do Oracle WebLogic Server, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração.
Para a versão 14.1.1.0.0 do Oracle WebLogic Server, considere restringir o acesso ao protocolo T3 para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server