Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/04/2019
Un Zero-Day es un ataque que tiene como objetivo la ejecución de código malicioso explotando vulnerabilidades descubiertas recientemente y que son desconocidas para el fabricante del producto.
En este caso afecta a Oracle WebLogic Server, una aplicación desarrollada por la corporación Oracle y que es usada en numerosas aplicaciones y páginas webs empresariales basadas en tecnología Java. Debido a su reciente descubrimiento, carece de CVE asociado, aunque tiene asignado un CNVD (base datos de vulnerabilidades China), concretamente el CNVD-C-2019-48814 y los módulos vulnerables serían “wls9_async_response.war” y “wls-wsat.war”.
Un atacante que explotase dicha vulnerabilidad, podría ejecutar comandos remotamente sin previa autorización a través del envío de peticiones HTTP.
Sistemas Afectados:WebLogic 10.x y WebLogic 12.1.3
Referencias:CVE-2019-2725
Solución: