De nouvelles vulnérabilités d'Oracle WebLogic Server viennent d'être signalées avec le Critical Patch Update pour Juillet 2021. 342 les problèmes ont été résolus dans plusieurs produits Oracle, dont certains exploitables à distance et permettant aux attaquants de prendre le contrôle de systèmes vulnérables.
CVE-2019-2729 dans les services Web Oracle WebLogic Server
Le plus critique de tous les problèmes semble être CVE-2019-2729, une faille critique de désérialisation via XMLDecoder et Oracle WebLogic Server Web Services. Le bogue peut être déployé dans des attaques à distance sans avoir besoin d'aucune authentification. Par exemple, il peut être exploité sur un réseau sans avoir besoin d'un nom d'utilisateur et d'un mot de passe, Oracle a noté dans son avis.
« En raison de la gravité de cette vulnérabilité, Oracle recommande fortement aux clients d'appliquer les mises à jour fournies par cette alerte de sécurité dès que possible,”La société a ajouté. La vulnérabilité a été signalée pour la première fois en 2019, quand il a été adressé dans un patch hors bande.
Oracle a également corrigé six autres problèmes dans son serveur WebLogic, dont trois notés 9.8 de 10 à l'échelle CVSS. Voici la liste des vulnérabilités: CVE-2021-2394, CVE-2021-2397, CVE-2021-2382, CVE-2021-2378, CVE-2021-2376, et CVE-2021-2403.
Oracle a corrigé divers défauts dans bon nombre de ses produits au fil des ans. L'un d'eux, CVE-2019-2725, également dans l'application Oracle WebLogic Server, a été abusé dans 2019 par des pirates pour faire tomber les mineurs de Monero. Utiliser la faille, des attaquants distants pourraient lancer une commande PowerShell sur le serveur pour déclencher un téléchargement de charge utile d'un fichier de certificat sur l'hôte. L'utilitaire de certification décoderait alors le contenu du fichier, et éventuellement conduire à un fichier non compressé.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: