Oracle WebLogic Server sérülékenysége


2015. november 11. 15:48

CH azonosító

CH-12769

Angol cím

Oracle WebLogic Server vulnerability

Felfedezés dátuma

2015.11.11.

Súlyosság

Közepes

Érintett rendszerek

Oracle
WebLogic Server

Érintett verziók

10.3.6.0, 12.1.1.0, 12.1.2.0 és 12.1.3.0. , azonban korábbi verziók is érintettek lehetnek.

Összefoglaló

A sérülékenység rosszindulatú felhasználók számára autentikáció nélkül távoli kódfuttatást tesz lehetővé.

Leírás

Az Apache Commons Components kapcsán korábban nyilvánosságra került hiba az, amely érinti a WebLogic Servert is.

A probléma az InvokerTransformer.class Java osztály nem megfelelő objektum- és memóriakezeléséből adódik.

Megoldás

Javítás még nem elérhető. 

A gyártó javasolja az aktív támogatásban részesülő verziók (Premier/Extended Support) használatát.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: www.heise.de
CVE-2015-4852 - NVD CVE-2015-4852

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »