Oracle corrige une vulnérabilité critique d'exécution de code arbitraire sur WebLogic

Une vulnérabilité d'exécution de code arbitraire critique a été corrigée par Oracle en avril dernier. Les versions 10.3.6.0, 12.1.3.0, 12.2.1.2 et 12.2.1.3 du serveur Oracle WebLogic (Fusion Middleware) sont impactées.

Cette vulnérabilité pourrait être exploitée sans authentification et à distance via le protocole de transport T3 sur le port TCP 7001. Une preuve de concept (PoC) relative à cette vulnérabilité a été publiée. Plusieurs attaques implémentant cette PoC ont été identifiées après sa publication.

Informations
+

Impact

  • Exécution de code à distance.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Une preuve de concept permettant l'exploitation de cette vulnérabilité a été publiée.

Composants & versions vulnérables

Oracle WebLogic Server (Fusion Middleware) versions :

  • 10.3.6.0 ;

  • 12.1.3.0 ;

  • 12.2.1.2 ;

  • 12.2.1.3.

CVE

  • CVE-2018-2628

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par Oracle.

Solution d'atténuation

  • Il est possible de bloquer l'accès au port 7001 pour atténuer les attaques exploitant cette vulnérabilité.