Бесплатно Экспресс-аудит сайта:

04.11.2020

Oracle выпустила внеплановое обновление для WebLogic Server

Компания Oracle выпустила внеплановое обновление, исправляющее критическую уязвимость в WebLogic Server. Уязвимость получила идентификатор CVE-2020-14750 и оценку 9,8 балла из максимальных 10 по шкале оценивания опасности уязвимостей CVSS. Проблема связана с другой уязвимостью в WebLogic Server ( CVE-2020-14882 ), исправленной в прошлом месяце и очень простой в эксплуатации.

Атаки с использованием CVE-2020-14882 начались на прошлой неделе после того, как вьетнамский разработчик опубликовал PoC-эксплоит. Когда исследователи безопасности обнаружили , что патч для уязвимости можно легко обойти, ей был присвоен идентификатор CVE-2020-14750.

«Данное уведомление безопасности исправляет CVE-2020-14750, уязвимость удаленного выполнения кода в WebLogic Server. […] Она легко эксплуатируется без аутентификации, то есть, может быть проэксплуатирована в сети без необходимости введения логина и пароля», - сообщается в уведомлении безопасности Oracle.

Уязвимость затрагивает версии WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0. Для ее эксплуатации у атакующего должен быть доступ к сети по HTTP. Успешная эксплуатация уязвимости может позволить злоумышленнику получить полный контроль над Oracle WebLogic.

Как сообщают специалисты чешской ИБ-компании Cybersecurity Help, уязвимость существует из-за недостаточной проверки подлинности входных данных. Злоумышленник может отправить особым образом сконфигурированный запрос, выполнить произвольный код и в итоге скомпрометировать уязвимую систему.

Сама Oracle не раскрывает подробностей о проблеме, но предупреждает, что эксплоит для нее уже доступен в Сети. В связи с этим рекомендуется как можно скорее установить обновление.