Oracle BEA WebLogic termékek többszörös sérülékenysége

CH azonosító

CH-2111

Felfedezés dátuma

2009.04.15.

Súlyosság

Kritikus

Érintett rendszerek

AquaLogic Data Service Integrator
AquaLogic Data Services Platform
BEA
JRockit
Oracle
WebLogic Portal
WebLogic Server

Érintett verziók

BEA WebLogic Portal 8.x
BEA AquaLogic Data Services Platform 3.x
BEA AquaLogic Data Service Integrator 10.x
BEA WebLogic Server 7.x, 8.x, 9.x, 10.x
Oracle JRockit 1.x

Összefoglaló

Több sérülékenységet fedeztek fel az Oracle BEA WebLogic termékekben. Egynek ismeretlen hatása van, a többit kihasználva, rosszindulatú felhasználók emelt szintű jogosultságokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert, rosszindulatú támadók pedig megkerülhetik a biztonsági beállításokat, érzékeny információkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy akár feltörhetik a sérülékeny rendszert.

Leírás

Több sérülékenységet fedeztek fel az Oracle BEA WebLogic termékekben. Egynek ismeretlen hatása van, a többit kihasználva, rosszindulatú felhasználók emelt szintű jogosultságokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert, rosszindulatú támadók pedig megkerülhetik a biztonsági beállításokat, érzékeny információkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy akár feltörhetik a sérülékeny rendszert.

  1. A WebLogic Server Plugins által küldött HTTP kérések elégtelen ellenőrzését kihasználva, halom alapú puffer túlcsordulást lehet előidézni, speciálisan elkészített HTTP csomagok küldésével.
  2. A WebLogic Server Plugins által végzett SSL igazolások feldolgozása közbeni határérték hibát kihasználva, veremtúlcsordulást lehet előidézni.
  3. A sérülékenységek kihasználása tetszőleges kód lefuttatását teszi lehetővé.
    Az előző két sérülékenység a WebLogic Server Plugins 1.0.1166819 verziójában van, de egyéb kiadások is érintve lehetnek.

  4. A WebLogic Server nem részletezett hibáját kihasználva, fel lehet törni a sérülékeny rendszert.
  5. A sérülékenységet az alábbi termékekben jelentették:

    • Oracle WebLogic Server 10.3, minden platformon.
    • Oracle WebLogic Server 10.0 – Maintenance Pack 1 minden platformon.
    • Oracle WebLogic Server 9.2 – Maintenance Pack 3 minden platformon.
    • Oracle WebLogic Server 9.1 minden platformon.
    • Oracle WebLogic Server 9.0 minden platformon.
    • Oracle WebLogic Server 8.1 – Service Pack 6, minden platformon.
    • Oracle WebLogic Server 7.0 – Service Pack 7, minden platformon.
  6. A WebLogic Server nem részletezett hibáját kihasználva, meg lehet szerezni a weboldalak forráskódját.
  7. A sérülékenységet az alábbi termékekben jelentették:

    • Oracle WebLogic Server 10.3, minden platformon.
    • Oracle WebLogic Server 10.0 – Maintenance Pack 1 minden platformon.
    • Oracle WebLogic Server 9.2 – Maintenance Pack 3 minden platformon.
    • Oracle WebLogic Server 9.1 minden platformon.
    • Oracle WebLogic Server 9.0 minden platformon.
  8. Egy nem részletezett biztonsági probléma található a WebLogic Server web services security-ben. Jelenleg nincs több információ.
  9. A sérülékenységet az alábbi termékben jelentették:

    • Oracle WebLogic Server 10.3, minden platformon.
  10. Több sérülékenység is található a JRockit-ban, amiket kihasználva, rosszindulatú támadók megkerülhetik a biztonsági beállításokat, érzékeny infromációkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy feltörhetik a sérülékeny rendszert.
  11. A sérülékenységet az alábbi termékekben jelentették:

    • JRockit R27.6.2 és korábbi kiadások, SDK és JRE 1.4.2
    • JRockit R27.6.2 és korábbi kiadások, JRE és JDK 5.0
    • JRockit R27.6.2 és korábbi kiadások, JRE és JDK 6
  12. Az Oracle Data Service Integrator and AquaLogic Data Services Platform egy nem részletezett hibáját kihasználva, emelt szintű jogosultásgokhoz lehet jutni.

    A sérülékenységet az alábbi termékekben jelentették:

    • AquaLogic Oracle Data Service Integrator 10.3.0, minden platformon.
    • AquaLogic Data Services Platform 3.2, minden platformon.
    • AquaLogic Data Services Platform 3.0.1, minden platformon.
    • AquaLogic Data Services Platform 3.0, minden platformon.
  13. Az Oracle BEA WebLogic Portal egy nem részletezett hibáját kihasználva, rosszindulatú felhasználók emelt szintű jogosultságot szerezhetnek. Jelenleg nincs több információ.

    A sérülékenységet az alábbi termékben jelentették:

    • WebLogic Portal 8.1 – Service Pack 6, minden platformon

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
CVE-2025-2254 – GitLab CE/EE sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
Tovább a sérülékenységekhez »