Kritische RCE Schwachstelle in Oracle WebLogic Server
04. November 2020
Beschreibung
Mehrere Versionen des Oracle WebLogic Servers weisen eine via HTTP(S) ausnutzbare Remote Code Execution (RCE) auf. Für einen Angriff ist keinerlei Authentifikation nötig. Weitere Details gehen aus dem öffentlichen Oracle Advisory nicht hervor. Laut Oracle steht die Lücke jedoch mit der im Oktober geschlossenen Lücke CVE-2020-14882 in Verbindung, bei der es sich ebenfalls um eine RCE via HTTP(S) handelt und für die bereits (mindestens) ein öffentlicher Exploit verfügbar ist.
CVSS3 Score: 9.8 (laut Oracle)
CVE-Nummer: CVE-2020-14750
Auswirkungen
Angreifende können Code auf dem Webserver ausführen.
Betroffene Systeme
Oracle WebLogic Server, Versionen:
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.3.0
- 12.2.1.4.0
- 14.1.1.0.0
Abhilfe
Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu finden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen , parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Oracle Advisory (englisch)
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
Oracle Oktober 2020 Patchday (englisch)
https://www.oracle.com/security-alerts/cpuoct2020.html
PoC Exploit für CVE-2020-14882 (englisch)
https://packetstormsecurity.com/files/159769/Oracle-WebLogic-Server-Remote-Code-Execution.html