Для Oracle WebLogic Server срочно выпустили патч к уязвимости, на базе которой уже есть прецеденты активной эксплуатации. Также, несколько дней назад была выявлена довольно близкая уязвимость в том же программном обеспечении.
Срочный выпуск внеочередного патча для такой критической уязвимости был крайне актуален для корпорации Oracle в связи с началом активной эксплуатации этого недочёта в программном обеспечении Oracle WebLogic Server. Эта уязвимость получила название CVE-2020-14750 и находящаяся в многих версиях WebLogic Server.
Так как это программное обеспечение используется в основном в качестве платформы для функционирования (разработки, тестирования, развётрывания и запуска корпоративного ПО на, например, Java) в чаще всего в локальной и облачной среде, то опасность эксплуатации такой уязвимости достаточно велика.
Степень опасности (угрозы), по оценке специалистов Oracle — 9,8 балла из 10 по причине возможности при эксплуатации этой уязвимости запуска неавторизованным пользователям выполнения произвольного кода и получения контроля над уязвимым сервером через HTTP-запрос.
Технические подробности корпорация Oracle не приводит. Интересно то, что, тем не менее, имеется информация от той же Oracle о том, что описываемая уязвимость связана с предыдущим смежным патчем выпуска октября 2020 года (то есть прежний баг так же допускал удалённый запуск произвольного кода неавторизованному пользователю — уязвимость с индексом CVE-2020-14882, компрометация системы при помощи специально подготовленного запроса HTTPGET). Обе уязвимости затрагивают версии Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, и 14.1.1.0.0.
Корпорация Oracle предупреждает своих пользователей о настоятельной необходимости скорейшего обновления до актуальной (пропатченной) версии WebLogic Server. С учётом крайне активного использования этих багов в структурах атак киберпреступников, задержка в актуализации может принести ощутимые финансовые и репутационные потери для операторов серверов.
