Vulnerabilidades críticas en Oracle WebLogic Server

La semana pasada se publicaron los boletines de seguridad trimestrales de Oracle correspondientes a Julio de 2021, que solventan múltiples vulnerabilidades críticas que incluyen la ejecución remota de código sin autenticación.

En total, Oracle ha liberado 342 nuevos parches de seguridad para solucionar 231 vulnerabilidades que afectan a múltiples familias de sus productos. A modo de resumen, 30 vulnerabilidades se han clasificado como críticas, 85 de gravedad alta, 105 de gravedad media y las 11 restantes de importancia baja.

Entre los fallos de seguridad críticos, destacan algunos que podrían ser aprovechados de forma remota para tomar el control de los dispositivos afectados.

Concretamente, una de las vulnerabilidades más graves abordadas en el boletín de seguridad de Julio de Oracle es la identificada como CVE-2019-2729. Se trata de un fallo crítico de deserialización en el componente XMLDecoder en Oracle WebLogic Server que podría permitir la ejecución remota de código sin autenticación. Este hecho ha supuesto que obtenga una puntuación CVSS de 9.8 sobre 10 ya que, según el propio aviso publicado por Oracle, se podría explotar a través de una red sin la necesidad de un nombre de usuario y contraseña.

Las versiones de Oracle WebLogic Server afectadas por esta vulnerabilidad son las 10.3.6.0.0, 12.1.3.0.0, y 12.2.1.3.0.

Además, para esta vulnerabilidad ya hay disponibles varias pruebas de concepto (PoC) que podrían facilitar la explotación de la misma.

Existen otras vulnerabilidades en WebLogic Server de gravedad crítica sobre los cuales no se han especificado detalles. Tendrían repercusión sobre la confidencialidad, integridad y disponibilidad de los sistemas afectados, podrían ser aprovechadas de manera remota sin autenticación, y su puntuación CVSS también es de 9.8 sobre 10:

* CVE-2021-2394 y CVE-2021-2397: sendos fallos no especificados en el componente Core. Se encuentran afectadas las versiones Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, y 14.1.1.0.0.

* CVE-2021-2382: vulnerabilidad en el componente Security. Afecta a las versiones Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0.

Oracle recomienda encarecidamente a los clientes a instalar las actualizaciones de seguridad proporcionadas lo antes posible.

Más información:

Oracle Critical Patch Update Advisory – July 2021
https://www.oracle.com/security-alerts/cpujul2021.html

Oracle Security Alert Advisory – CVE-2019-2729
https://www.oracle.com/security-alerts/alert-cve-2019-2729.html

La entrada Vulnerabilidades críticas en Oracle WebLogic Server se publicó primero en Una al Día.