Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica 0-day in Oracle WebLogic Server

Oracle  Oracle WebLogic Server  remote code execution   giovedì, 2 maggio 2019

Oracle ha rilasciato un avviso di sicurezza che riguarda una vulnerabilità critica zero-day (CVE-2019-2725) nel prodotto software Oracle WebLogic Server. La vulnerabilità è legata ad un problema di deserializzazione di dati inviati in input all’applicativo. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto non autenticato di eseguire codice arbitrario sul server bersaglio.

Risultano affette da questa vulnerabilità le versioni 10.3.6.0 e 12.1.3.0 di Oracle WebLogic Server. Oracle ha rilasciato opportuni aggiornamenti che risolvono questa vulnerabilità nei prodotti affetti.

Stando a quanto riportato da fonti pubbliche, questa vulnerabilità è già stata sfruttata in campagne di attacchi reali. Vista la gravità della problematica, si raccomanda ai gestori di Oracle WebLogic Server di aggiornare prima possibile la propria piattaforma.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili si suggerisce di consultare il seguente bollettino di sicurezza di Oracle (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza critici per prodotti Oracle (gennaio 2020)

15 gennaio 2020

Oracle ha rilasciato la Critical Patch Update di gennaio 2020, che contiene un totale di 334 fix di sicurezza per decine di prodotti e componenti Oracle.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto