PT-2022-2134 · Oracle · Oracle Weblogic Server
R00T4Dm
·
Publicado
2022-01-19
·
Atualizado
2022-01-21
·
CVE-2022-21262
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0
Descrição
Existe uma vulnerabilidade no produto Oracle WebLogic Server devido à validação insuficiente de entradas no componente Samples. Essa falha, facilmente explorável, permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle WebLogic Server. Ataques bem-sucedidos requerem interação humana de uma pessoa que não seja o invasor e podem impactar significativamente outros produtos. A vulnerabilidade pode resultar em acesso não autorizado para atualização, inserção ou exclusão de alguns dos dados acessíveis do Oracle WebLogic Server, bem como acesso não autorizado para leitura de um subconjunto dos dados acessíveis do Oracle WebLogic Server.
Recomendações
Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso ao componente Samples até que um patch esteja disponível.
Evite usar solicitações HTTP para acessar dados confidenciais no Oracle WebLogic Server até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server