ATTENTION : UNE FAILLE CRITIQUE D'ORACLE WEBLOGIC EST ACTIVEMENT CIBLÉE PAR DES ACTEURS MALVEILLANTS. CVE-2020-14750 (CVSS SCORE 9.8)
CVE-2020-14750 - 9.8 CVSS V3(Critique)
Sources
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
http://www.oracle.com/index.html
Risques
L'exploitation réussie de cette faille pourrait permettre à un acteur malveillant non authentifié d'exécuter du code arbitraire, ce qui compromettrait complètement le système vulnérable
Description
La vulnérabilité RCE (Remote Code Execution) dans le serveur Oracle WebLogic attribué CVE - 2020 - 14750 permet à un acteur malveillant d'exécuter arbitrairement du code sur le système cible.
Selon le vendeur, cette vulnérabilité est liée au CVE-2020-14882, qui a été corrigé en octobre 2020 et permet à un acteur malveillant a distance de compromettre totalement un serveur Oracle WebLogic sans nom d'utilisateur ni mot de passe via une simple requête HTTP get.
Cette vulnérabilité existe en raison d'une validation incorrecte des entrées permettant à un attaquant distant d'envoyer une requête spécialement conçue et d'exécuter du code arbitraire sur le système cible.
Actions recommandées
Le CERT.be recommande aux administrateurs réseau d'installer les dernières mises à jour publiées par le fournisseur pour les versions concernées - https://www.oracle.com/security-alerts/cpuoct2020.html
Références
https://www.oracle.com/security-alerts/cpuoct2020.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14750