آسیبپذیری بحرانی در سرویسدهندهی WEBLOGIC شرکت اوراکل با شناسهی CVE-2019-2725
در روزهای اخیر آسیب پذیری بحرانی با شناسهی CVE-2019-2725 و CNVD-C-2019-48814 برروی سرویس دهنده های Weblogic محصول شرکتOracle منتشر شده است.
به گزارش پایگاه تحلیلی خبری بانک و صنعت به نقل از مرکز ماهر، این آسیب پذیری با درجه CVSS 9.8 به حمله کننده اجازه اجرای کد از راه دور را می دهد. نسخه های آسیب پذیر سرور های Oracle Weblogic، 12.1.3.0.0 و 10.3.6.0.0 می باشند. طبق گزارش منتشر شده برای این آسیب پذیری در وبسایت nvd.nist.gov، این دو نسخه تنها نسخه های آسیب پذیر هستند، اما برخی منابع نسخه های آسیب پذیر را 12.1.3 و تمامی نسخه های شاخه 10.x معرفی کرده اند.
راه حل رفع آسیب پذیری:
• بررسی وجود و استفاده از دو پکیج wls9_async_response.war و wls-wsat.war و حذف یا جایگزینی آن ها با پکیج های دیگر.
• جلوگیری از دسترسی به url هایی مانند /_async/* و /wls-wsat/* برای کاربر احراز هویت نشده
منابع:
https://thehackernews.com/2019/04/oracle-weblogic-hacking.html
https://vulners.com/myhack58/MYHACK58:62201993883
utm_source=telegram&utm_medium=vulnersBot&utm_campaign=search
https://nvd.nist.gov/vuln/detail/CVE-2019-2725
URL: https://www.bankosanat.ir:443/News/اسیبپذیری-بحرانی-در-سرویسدهندهی-WEBLOGIC-شرکت-اوراکل-با-شناسهی-CVE-2019-2725.bos