Oracle - CVE-2023-21839
Date de publication :
Date de mise à jour :
Un défaut de vérification des données saisies par l’utilisateur dans Core d’Oracle permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de porter atteinte à la confidentialité des données.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
La vulnérabilité exploitée est du type
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
Détails sur l'exploitation
• Vecteur d'attaque : Réseau.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Aucun.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.
Preuve de concept
Actuellement, une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Weblogic server version 12.2.1.3.0 et antérieures
Weblogic server version 12.2.1.4.0 et antérieures
Weblogic server version 14.1.1.0.0 et antérieures
Solutions ou recommandations
Mettre à jour Weblogic server pour appliquer les correctifs de sécurité.
Des informations complémentaires sont disponibles dans le bulletin d’Oracle.