Oracle a publié un nouveau patch qui permet de corriger une faille critique d’exécution de code à distance (RCE) affectant de nombreuses versions d’Oracle WebLogic Server. La vulnérabilité critique en question est référencée CVE-2020-14750. Oracle WebLogic Server est une plateforme unifiée de développement, de déploiement et d’exécution d’applications d’entreprise, dont Java, sur site et dans le cloud. Les versions affectées du serveur d’application sont les suivantes : versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

Oracle a aussi publié pendant le mois dernier un premier correctif lié à la vulnérabilité CVE-2020-14882, destiné aux utilisateurs de WebLogic Server. Cette faille peut être exploitée par un pirate sans nécessiter une quelconque authentification. Dans ce cadre, Oracle a publié une alerte de sécurité le premier Novembre afin de signaler que ce premier patch n’arrive pas à corriger entièrement la faille d’exécution de code arbitraire à distance. Le dernier correctif est conçu afin de combler les manquements.

Oracle recommande fortement à sa clientèle d’appliquer les mises à jour partagées par cette alerte de sécurité le plus rapidement possible. A défaut, il est conseillé de désactiver temporairement la console WebLogic.