Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica 0-day in Oracle WebLogic Server

Oracle  Oracle WebLogic Server  remote code execution   giovedì, 2 maggio 2019

Oracle ha rilasciato un avviso di sicurezza che riguarda una vulnerabilità critica zero-day (CVE-2019-2725) nel prodotto software Oracle WebLogic Server. La vulnerabilità è legata ad un problema di deserializzazione di dati inviati in input all’applicativo. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto non autenticato di eseguire codice arbitrario sul server bersaglio.

Risultano affette da questa vulnerabilità le versioni 10.3.6.0 e 12.1.3.0 di Oracle WebLogic Server. Oracle ha rilasciato opportuni aggiornamenti che risolvono questa vulnerabilità nei prodotti affetti.

Stando a quanto riportato da fonti pubbliche, questa vulnerabilità è già stata sfruttata in campagne di attacchi reali. Vista la gravità della problematica, si raccomanda ai gestori di Oracle WebLogic Server di aggiornare prima possibile la propria piattaforma.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili si suggerisce di consultare il seguente bollettino di sicurezza di Oracle (in Inglese):

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto