www.belgium.be Logo of the federal government

Waarschuwing: Kritische Oracle WebLogic vulnerability wordt actief geëxploiteerd, CVE-2020-14882 CVSS Score 9.8

Referentie: 
Advisory #2020-033
Versie: 
1.0
Geïmpacteerde software: 
Oracle Weblogic Server 10.3.6
Oracle Weblogic Server 12.1.3
Oracle Weblogic Server 12.2.1.3
Oracle Weblogic Server 12.2.1.4
Oracle Weblogic Server 14.1.1.0
Type: 
Remote Code Execution (RCE)
CVE/CVSS: 

CVE-2020-14882 - 9.8 CVSS V3(CRITICAL)

Risico’s

Een niet-geauthenticeerde hacker kan door het versturen van een simpele HTTP GET request een kwetsbaar systeem volledig compromitteren.

Beschrijving

Er is een verhoogde activiteit waargenomen van hackers die het internet scannen om servers met kwetsbare installaties van Oracle WebLogic te identificeren ter voorbereiding om CVE-2020-14882 te exploiteren.

CVE-2020-14882 kan worden geëxploiteerd door een niet-geauthenticeerde aanvaller door het sturen van een eenvoudig HTTP GET-verzoek.

Oracle heeft de kwetsbaarheid opgelost in de release van deze maand van Critical Patch Update (CPU).

Aanbevolen acties

CERT.be raadt systeembeheerders aan om de laatste updates te installeren die de leverancier ter beschikking werden gesteld en de critical patch packs op te volgen. https://www.oracle.com/security-alerts/cpuoct2020.html.

Referenties

https://www.oracle.com/security-alerts/cpuoct2020.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14882
https://www.bleepingcomputer.com/news/security/critical-oracle-weblogic-...