Oracle выпустила экстренный патч для WebLogic
Oracle исправила на прошлой неделе более 400 уязвимостей в своих продуктах, и среди них была особо критическая уязвимость получившая идентификатор CVE-2020–14882. Она набрала 9,8 баллов из 10 по шкале уязвимостей CVSS.
Данная уязвимость была связана c WebLogic версий 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0, которая позволяет взламывать с помощью запроса HTTP GET уязвимые системы. Поскольку уязвимость проста использовании, эксперты полагают, что данную уязвимость уже используют хакеры. PoC-эксплойты уже доступны на github (1, 2, 3, 4, 5).
Инженеры Oracle уже выпустили хотфикс для багфикса CVE-2020–14882, поскольку багфикс CVE-2020–14882 легко обходится. Сам bypass исправления получил свой индекс CVE-2020–14750. Адам Бойло (Adam Boileau), главный консультант по безопасности Insomnia Sec, заявил что оригинальный патч обходится изменением регистра одного символа в эксплойте.
По информации специалистов Spyse, в сети доступно более 3000 серверов Oracle WebLogic уязвимых перед CVE-2020–14882 и CVE-2020–14750.
