PT-2022-4279 · Oracle · Oracle Weblogic Server
Liboheng
·
Publicado
2022-07-19
·
Atualizado
2022-07-25
·
CVE-2022-21548
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server, versões 12.2.1.3.0 a 12.2.1.4.0
Oracle WebLogic Server, versão 14.1.1.0.0
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas no componente Core do Oracle WebLogic Server. Isso permite que um invasor remoto modifique, adicione ou exclua dados, ou cause uma negação parcial de serviço usando os protocolos T3 e IIOP. Ataques bem-sucedidos podem resultar em acesso não autorizado a alguns dos dados acessíveis do Oracle WebLogic Server e na capacidade de causar uma negação parcial de serviço.
Recomendações
Para as versões 12.2.1.3.0 e 12.2.1.4.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para a versão 14.1.1.0.0 do Oracle WebLogic Server, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server