• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Nueva vulnerabilidad crítica en Oracle WebLogic

Nueva vulnerabilidad crítica en Oracle WebLogic

5 noviembre, 2020 Por Julián J. Menéndez Deja un comentario

Oracle ha publicado una nueva actualización de Weblogic fuera de su ciclo de actualizaciones habitual, para solucionar una vulnerabilidad crítica que permite la ejecución remota de código sin necesidad de autenticación previa.

Esta nueva vulnerabildad, con CVE-2020-14750 está estrechamente relacionada con la CVE-2020-14882, de la que hemos hablado recientemente. Aquella vulnerabildad permitía el acceso a rutas de la aplicación restringidas, mediante la utilización de caracteres códificados. El servidor autorizaba la petición antes de la decodificación completa de la ruta, que mediante el uso de la cadena ../ modificaba el destino de la misma, y se dirigía a funciones solo accesibles mediante autenticación.

En el parche, incluido en la actualización de octubre, se comprueba que la petición no incluya ciertas cadenas de caracteres, denegando la petición en caso de encontrarlas. Sin embargo, no se tuvo en cuenta que los caracteres codificados pueden escribirse también en minúscula, un simple cambio que consigue evadir el filtro impuesto:

Este fallo se debe, muy probablemente, a las prisas por incluir el parche en el conjunto de actualizaciones de octubre, ya que existía una prueba de concepto y un riesgo muy alto de que estuviese siendo explotado activamente.

Dada la severidad de esta vulnerabilidad y publicación en diferentes sitios, Oracle recomienda a sus clientes aplicar el parche de manera urgente, sin esperar al siguiente paquete de actualizaciones.

Versiones afectadas:

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Más información
https://threatpost.com/oracle-update-weblogic-server-flaw/160889/
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Sinfonier

Análisis Forense Digital

Publicado en: General, Vulnerabilidades Etiquetado como: CVE-2020-14750, Oracle, Weblogic

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...