Bulletins

Oracle avertit que des failles critiques du serveur Weblogic sont exploitables à distance

bs1.jpg

Oracle a publié son patch Tuesday pour juillet 2021, avec 342 correctifs concernant plusieurs produits, dont certains pourraient être exploités par un attaquant à distance pour prendre le contrôle d'un système affecté.

La CVE-2019-2729 évaluée à 9,8, affecte WebLogic Server versions 11.1.2.4 et 11.2.5.0 existant au sein des technologies Oracle Hyperion Infrastructure, est la plus critique parmi toutes les vulnérabilités patchées. Elle représente une vulnérabilité de désérialisation via XMLDecoder dans Oracle WebLogic Server Web Services qui est exploitable à distance sans authentification. Il convient de noter que cette faiblesse a été initialement corrigée dans le cadre d'une mise à jour de sécurité hors bande en juin 2019.

Oracle WebLogic Server est un serveur d'applications qui fonctionne comme une plate-forme pour le développement, le déploiement et l'exécution d'applications d'entreprise basées sur Java.

Six autres failles ont également été corrigées dans WebLogic Server, dont trois ayant reçu un score CVSS de 9,8 sur 10.

CVE-2021-2394 (score CVSS : 9,8)

CVE-2021-2397 (score CVSS : 9,8)

CVE-2021-2382 (score CVSS : 9,8)

CVE-2021-2378 (score CVSS : 7,5)

CVE-2021-2376 (score CVSS : 7,5)

CVE-2021-2403 (score CVSS : 5,3)

Cette découverte est loin d'être la première de problèmes critiques dans WebLogic Server. Plus tôt cette année, Oracle a livré le correctif d'avril 2021 avec des corrections pour deux bogues (CVE-2021-2135 et CVE-2021-2136), parmi d'autres qui pourraient être abusés pour exécuter du code arbitraire.

Les clients d'Oracle sont invités à appliquer immédiatement les mises à jour et à protéger leurs systèmes contre toute exploitation potentielle.