Oracle WebLogic Server sérülékenysége


2015. november 11. 15:48

CH azonosító

CH-12769

Angol cím

Oracle WebLogic Server vulnerability

Felfedezés dátuma

2015.11.11.

Súlyosság

Közepes

Érintett rendszerek

Oracle
WebLogic Server

Érintett verziók

10.3.6.0, 12.1.1.0, 12.1.2.0 és 12.1.3.0. , azonban korábbi verziók is érintettek lehetnek.

Összefoglaló

A sérülékenység rosszindulatú felhasználók számára autentikáció nélkül távoli kódfuttatást tesz lehetővé.

Leírás

Az Apache Commons Components kapcsán korábban nyilvánosságra került hiba az, amely érinti a WebLogic Servert is.

A probléma az InvokerTransformer.class Java osztály nem megfelelő objektum- és memóriakezeléséből adódik.

Megoldás

Javítás még nem elérhető. 

A gyártó javasolja az aktív támogatásban részesülő verziók (Premier/Extended Support) használatát.

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: www.heise.de
CVE-2015-4852 - NVD CVE-2015-4852

Legfrissebb sérülékenységek
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
CVE-2025-59808 – Fortinet FortiSOAR sérülékenysége
CVE-2025-59719 – Fortinet FortiWeb sérülékenysége
CVE-2025-59718 – Fortinet sérülékenysége
CVE-2025-10573 – Ivanti EPM XSS sérülékenysége
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
Tovább a sérülékenységekhez »