Oracle phát hành bản vá khẩn cấp cho lỗ hổng trên WebLogic Server

Bản cập nhật bảo mật riêng biệt xử lý lỗ hổng thực thi mã từ xa (RCE) nguy cấp có số hiệu là CVE-2020-14750, có số điểm CVSS 9,8/10, ảnh hưởng tới các phiên bản của Oracle WebLogic Server.

Theo Oracle, lỗ hổng được phát hiện là nhờ thông tin được cung cấp bởi 20 tổ chức và các chuyên gia bảo mật. Lỗ hổng này có liên quan tới lỗ hổng nguy cấp CVE-2020-14882 đã được xử lý hồi tháng 10/2020.

Những kể tấn công không xác thực có thể khai thác lỗ hổng qua HTTP mà không cần sự tương tác người dùng.

Theo công bố của Oracle: "Lỗ hổng có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần tên và mật khẩu người dùng. Do mức nghiêm trọng của lỗ hổng này và mã khai thác được đăng tải trên các trang web khác nhau nên Oracle khuyến cáo người dùng áp dụng những bản cập nhật mà cảnh báo bảo mật này cung cấp càng sớm càng tốt".

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA) cũng đã công bố một cảnh báo liên quan đến lỗ hổng để khuyến cáo người dùng và quản trị viên áp dụng bản cập nhật bảo mật.

Trong cảnh báo của Oracle cũng nói rõ:"Oracle đã phát hành một cảnh báo bảo mật đặc biệt để xử lý lỗ hổng thực thi mã từ xa có số hiệu CVE-2020-14750 tồn tại trong Oracle WebLogic Server. Một kẻ tấn công từ xa có thể khai thác lỗ hổng này để chiếm quyền điều khiển trên hệ thống bị ảnh hưởng. CISA kêu gọi người dùng và các quản trị viên xem cảnh báo bảo mật của Oracle và áp dụng các bản cập nhật cần thiết".

Lỗ hổng ảnh hưởng tới các phiên bản Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0.0.