Oracle WebLogic Server sérülékenysége


2015. november 11. 15:48

CH azonosító

CH-12769

Angol cím

Oracle WebLogic Server vulnerability

Felfedezés dátuma

2015.11.11.

Súlyosság

Közepes

Érintett rendszerek

Oracle
WebLogic Server

Érintett verziók

10.3.6.0, 12.1.1.0, 12.1.2.0 és 12.1.3.0. , azonban korábbi verziók is érintettek lehetnek.

Összefoglaló

A sérülékenység rosszindulatú felhasználók számára autentikáció nélkül távoli kódfuttatást tesz lehetővé.

Leírás

Az Apache Commons Components kapcsán korábban nyilvánosságra került hiba az, amely érinti a WebLogic Servert is.

A probléma az InvokerTransformer.class Java osztály nem megfelelő objektum- és memóriakezeléséből adódik.

Megoldás

Javítás még nem elérhető. 

A gyártó javasolja az aktív támogatásban részesülő verziók (Premier/Extended Support) használatát.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: www.heise.de
CVE-2015-4852 - NVD CVE-2015-4852

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
Tovább a sérülékenységekhez »