A Oracle emitiu uma atualização de segurança fora da banda para resolver um problema crítico de execução de código remoto (CVE-2020-14750) impactando várias versões do Oracle WebLogic Server.
A Oracle emitiu uma atualização de segurança fora da banda para resolver uma vulnerabilidade crítica de execução de código remoto (RCE), rastreada como CVE-2020-14750, que afeta várias versões do Oracle WebLogic Server.
O gigante de TI atribuiu à falha uma pontuação base de gravidade de 9,8 de 10.
De acordo com a Oracle, o problema foi descoberto graças às informações fornecidas por 20 organizações e especialistas em segurança.
A assessoria afirma que essa vulnerabilidade está relacionada à falha do CVE-2020-14882 que foi abordada na Atualização crítica do Patch de outubro de 2020.
A vulnerabilidade pode ser explorada por invasores não autenticados via HTTP sem interação do usuário.
“Ele é remotamente explorável sem autenticação, ou seja, pode ser explorado em uma rede sem a necessidade de um nome de usuário e senha”, lê-se no aviso publicado pela Oracle.
“Devido à gravidade dessa vulnerabilidade e à publicação de código de exploração em vários sites, a Oracle recomenda fortemente que os clientes apliquem as atualizações fornecidas por este Alerta de Segurança o mais rápido possível.”
A Agência de Segurança cibernética e segurança de infraestrutura (CISA) também publicou um alerta relacionado à vulnerabilidade que insta usuários e administradores a aplicar a atualização de segurança.
“A Oracle lançou um alerta de segurança fora da banda para abordar uma vulnerabilidade de execução remota de código — CVE-2020-14750 — no Oracle WebLogic Server. Um invasor remoto pode explorar essa vulnerabilidade para assumir o controle de um sistema afetado.” lê o alerta. “A Agência de Segurança cibernética e segurança de infraestrutura (CISA) insta usuários e administradores a revisar o Alerta de Segurança Oracle e aplicar as atualizações necessárias.”
A falha afeta o Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0.
Eric Maurice, diretor de garantia de segurança da Oracle, publicou instruções de endurecimento do WebLogic Server em um post no blog que anunciou a atualização de segurança.
FONTE: SECURITY AFFAIRS