CH azonosító
CH-14475Angol cím
Oracle WebLogic Web Services Authentication Bypass VulnerabilityFelfedezés dátuma
2018.08.05.Súlyosság
KritikusÉrintett rendszerek
OracleWebLogic Server
Érintett verziók
Oracle WebLogic 10.x
Oracle WebLogic 12.x
Összefoglaló
Az Oracle WebLogic Web Services egy kritikus besorolású sérülékenységét jelentették, amit kihasználva a távoli, nem hitelesített támadók megkerülhetik a biztonsági előírásokat, valamint tetszőleges kódot futtathatnak a rendszeren.
Leírás
A sérülékenységet az Oracle Fusion Middleware szoftver WebLogic Server komponensének WLS – Web Services alkomponensében lévő nem részletezett hiba okozza. Ezt kihasználva a támadók olyan, speciálisan megszerkesztett HTTP kéréseket küldhetnek, amelyek segítségével meg tudják kerülni a biztonsági szabályokat, vagy akár tetszőleges kódot hajthatnak végre a sérülékeny rendszeren.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
CVE-2018-2894 - NVD CVE-2018-2894