A finales de la semana pasada, expertos de KnownSec china 404 compañía que está detrás de la IO-buscador desarrollo ZoomEye, descubierto problema peligroso en Oralce WebLogic.
segundoug presentó una amenaza para todos los servidores Oracle WebLogic con componentes en ejecución WLS9_ASYNC y WLS-WSAT. En primer componente es necesario para la realización de las operaciones asincrónicas mientras que el segundo es la solución de protección.La vulnerabilidad está vinculada a la deserialización y permite al atacante remoto lograr la ejecución de cualquier comando sin autorización (con la ayuda de una solicitud HTTP especial).
Las situaciones se complicaron por el hecho de que los intrusos ya han usado este problema. Como Oracle lanzó un conjunto trimestral de parches para sus productos hace relativamente poco, los especialistas sugirieron que el parche para la vulnerabilidad de 0 días llegará solo en junio 2019 como parte del próximo conjunto trimestral de actualizaciones.
por suerte, los expertos se equivocaron esta vez. Oracle hizo un gesto atípico y presentó urgente parche no planificado para estos problemas. La vulnerabilidad obtuvo el identificador CVE-2019-2725 y puntuó 9.8 puntos en la escala de vulnerabilidad CVSS de 10 puntos.
Como el problema es inmensamente serio, los desarrolladores instan a los usuarios a instalar actualizaciones lo antes posible.
“Debido a la gravedad de esta vulnerabilidad., Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta Alerta de seguridad lo antes posible”, – escribieron los desarrolladores de Oracle
Fuente: https://www.oracle.com
