Oracle исправила на прошлой неделе более 400 уязвимостей в своих продуктах, и среди них была особо критическая уязвимость получившая идентификатор CVE-2020-14882. Она набрала 9,8 баллов из 10 по шкале уязвимостей CVSS.

Данная уязвимость была связана c WebLogic версий 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0, которая позволяет взламывать с помощью запроса HTTP GET уязвимые системы. Поскольку уязвимость проста использовании, эксперты полагают, что данную уязвимость уже используют хакеры. PoC-эксплойты уже доступны на github (1, 2, 3, 4, 5).

Инженеры Oracle уже выпустили хотфикс для багфикса CVE-2020-14882, поскольку багфикс CVE-2020-14882 легко обходится. Сам bypass исправления получил свой индекс CVE-2020-14750. Адам Бойло (Adam Boileau), главный консультант по безопасности Insomnia Sec, заявил что оригинальный патч обходится изменением регистра одного символа в эксплойте.

По информации специалистов Spyse, в сети доступно более 3000 серверов Oracle WebLogic уязвимых перед CVE-2020-14882 и CVE-2020-14750.