Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0

Résumé

Le 18 juin 2019, Oracle a publié un avis de sécurité hors de son cycle habituel de correctifs pour une vulnérabilité jugée critique.
Cette faille d'identifiant CVE-2019-2729 affecte les serveurs WebLogic et peut conduire à une exécution de code arbitraire à distance sans qu'une authentification soit nécessaire.

Cette vulnérabilité a été remontée à l'éditeur par plusieurs chercheurs en sécurité parmi lesquelles l'équipe Knownsec 404.
Dans une publication de blogue le 15 juin 2019 (cf. section documentation) l'équipe, qui avait par ailleurs rapporté au mois d'avril 2019 une précédente vulnérabilité affectant WebLogic, annonce avoir identifié l'exploitation de la vulnérabilité actuelle. Cette faille serait basée sur un contournement du correctif de sécurité déployé par Oracle en avril 2019 relatif à la vulnérabilité CVE-2019-2725.

Le CERT-FR recommande l'application du correctif de sécurité dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation