www.belgium.be Logo of the federal government

ATTENTION : UNE FAILLE CRITIQUE D'ORACLE WEBLOGIC EST ACTIVEMENT CIBLÉE PAR DES ACTEURS MALVEILLANTS. CVE-2020-14750 (CVSS SCORE 9.8)

Référence: 
Advisory #2020-034
Version: 
1.0
Logiciels concernés : 
Oracle Weblogic Server 10.3.6
Oracle Weblogic Server 12.1.3
Oracle Weblogic Server 12.2.1.3
Oracle Weblogic Server 12.2.1.4
Oracle Weblogic Server 14.1.1.0
Type: 
Remote Code Execution (RCE)
CVE/CVSS: 

CVE-2020-14750 - 9.8 CVSS V3(Critique)

Sources

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
http://www.oracle.com/index.html

Risques

L'exploitation réussie de cette faille pourrait permettre à un acteur malveillant non authentifié d'exécuter du code arbitraire, ce qui compromettrait complètement le système vulnérable

Description

La vulnérabilité RCE (Remote Code Execution) dans le serveur Oracle WebLogic attribué CVE - 2020 - 14750 permet à un acteur malveillant d'exécuter arbitrairement du code sur le système cible.

Selon le vendeur, cette vulnérabilité est liée au CVE-2020-14882, qui a été corrigé en octobre 2020 et permet à un acteur malveillant a distance de compromettre totalement un serveur Oracle WebLogic sans nom d'utilisateur ni mot de passe via une simple requête HTTP get.

Cette vulnérabilité existe en raison d'une validation incorrecte des entrées permettant à un attaquant distant d'envoyer une requête spécialement conçue et d'exécuter du code arbitraire sur le système cible.

Actions recommandées

Le CERT.be recommande aux administrateurs réseau d'installer les dernières mises à jour publiées par le fournisseur pour les versions concernées - https://www.oracle.com/security-alerts/cpuoct2020.html

Références

https://www.oracle.com/security-alerts/cpuoct2020.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14750