آسیب‌پذیری بحرانی در سرویس‌دهنده‌ی Weblogic شرکت اوراکل با شناسه‌ی CVE-2019-2725

آسیب‌پذیری بحرانی در سرویس‌دهنده‌ی Weblogic شرکت اوراکل با شناسه‌ی CVE-2019-2725

تاریخ ایجاد

در روزهای اخیر آسیب پذیری بحرانی با شناسه‌ی CVE-2019-2725 و CNVD-C-2019-48814 برروی سرویس دهنده های Weblogic محصول شرکت #Oracle منتشر شده است. این آسیب پذیری با درجه CVSS 9.8 به حمله کننده اجازه اجرای کد از راه دور را می دهد. نسخه های آسیب پذیر سرور های Oracle Weblogic، 12.1.3.0.0 و 10.3.6.0.0 می باشند. طبق گزارش منتشر شده برای این آسیب پذیری در وبسایت nvd.nist.gov، این دو نسخه تنها نسخه های آسیب پذیر هستند، اما برخی منابع نسخه های آسیب پذیر را 12.1.3 و تمامی نسخه های شاخه 10.x معرفی کرده اند.

راه حل رفع آسیب پذیری
• بررسی وجود و استفاده از دو پکیج wls9_async_response.war و wls-wsat.war و حذف یا جایگزینی آن ها با پکیج های دیگر.
• جلوگیری از دسترسی به url هایی مانند /_async/* و /wls-wsat/* برای کاربر احراز هویت نشده


منابع:

https://thehackernews.com/2019/04/oracle-weblogic-hacking.html
https://vulners.com/myhack58/MYHACK58:62201993883?utm_source=telegram&utm_medium=vulnersBot&utm_cam…
https://nvd.nist.gov/vuln/detail/CVE-2019-2725

برچسب‌ها