Oracle ha publicado una nueva actualización de Weblogic fuera de su ciclo de actualizaciones habitual, para solucionar una vulnerabilidad crítica que permite la ejecución remota de código sin necesidad de autenticación previa.
La vulnerabilidad ( CVE-2020-14750 ) tiene una puntuación base CVSS de 9,8 sobre 10, y se puede explotar de forma remota sin autenticación (lo que significa que puede explotarse a través de una red sin la necesidad de un nombre de usuario y contraseña).
Esto indica que con solo acceder al servidor que aloja nuestra instalación Weblogic, se puede acceder a toda la configuración como datasources, proveedores de autenticación, etc. con solo ejecutar códigos a través de esta vulnerabilidad.
Dada la severidad de esta vulnerabilidad y publicación en diferentes sitios, Oracle recomienda a sus clientes aplicar el parche de manera urgente, sin esperar al siguiente paquete de actualizaciones.
Versiones afectadas:
- 10.3.6.0.0 (11g)
- 12.1.3.0.0 (12c)
- 12.2.1.3.0 (12c)
- 12.2.1.4.0 (12c)
- 14.1.1.0.0 (12c)
