CH azonosító
CH-14344Angol cím
Oracle Fusion Middleware Oracle WebLogic Server Component Arbitrary Code Execution VulnerabilityFelfedezés dátuma
2018.01.11.Súlyosság
KritikusÉrintett rendszerek
Fusion MiddlewareOracle
Érintett verziók
Oracle Fusion Middleware 10.3 (.6.0.0) | 12.1 (.3.0) | 12.2 (.1.1, .1.2)
Összefoglaló
Az Oracle Fusion Middleware szoftver Oracle Weblogic Server komponensének kritikus hibája miatt egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a rendszeren.
Leírás
A sérülékenységet az okozza, hogy az érintett szoftver nem megfelelően ellenőrzi a felhasználó által feltöltött adatokat. Ezt kihasználva, a támadó olyan, speciálisan elkészített HTTP kérést küldhet, aminek következtében tetszőleges kódot lehet végrehajtani.
MEGJEGYZÉS: A sérülékenységhez egy funkcionális exploit nyilvánosan hozzáférhető, és egy kriptovaluta bányász szoftvert telepít a sérülékeny rendszerre.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
CVE-2017-10271 - NVD CVE-2017-10271