PT-2024-6823 · Oracle · Oracle Weblogic Server
Markus Wulftange
+7
·
Publicado
2024-10-15
·
Atualizado
2026-06-06
·
CVE-2024-21216
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Oracle WebLogic Server versões 12.2.1.4.0 e 14.1.1.0.0
Descrição
O problema está relacionado a uma vulnerabilidade no produto Oracle WebLogic Server do Oracle Fusion Middleware, especificamente no componente Core. Essa vulnerabilidade permite que um invasor não autenticado com acesso à rede via T3, IIOP comprometa o Oracle WebLogic Server. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. Estima-se que mais de 18.000 serviços estejam potencialmente afetados. A vulnerabilidade pode ser explorada pelo envio de pacotes de rede especialmente criados, permitindo que um invasor obtenha acesso total ao software vulnerável.
Recomendações
Para o Oracle WebLogic Server versão 12.2.1.4.0, atualize para uma versão mais recente para mitigar o risco.
Para o Oracle WebLogic Server versão 14.1.1.0.0, atualize para uma versão mais recente para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração.
Correção
RCE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oracle Weblogic Server