Especialistas en ciberseguridad reportan la detección de al menos 25 vulnerabilidades en Oracle WebLogic Server. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar múltiples variantes de ataque.

A continuación se presentan breves descripciones de algunas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2020-13956: La validación insuficiente de la entrada proporcionada por el usuario en Apache HttpClient permitiría a los actores de amenazas remotos pasar una URI de solicitud a la biblioteca como objeto java.net.URI y forzar a la aplicación a elegir el host de destino incorrecto para la ejecución de la solicitud.

La falla recibió un puntaje CVSS de 5.7/10.

CVE-2018-1324: Un error en las clases ZipFile y ZipArchiveInputStream al manejar entradas maliciosas permitiría a los atacantes remotos enviar un archivo ZIP especialmente diseñado, desencadenar un bucle infinito y llevar a una condición de denegación de servicio (DoS).

La vulnerabilidad recibió un puntaje CVSS de 4.6/10.

CVE-2019-10219: La validación incorrecta de entradas dentro del componente de servicios web (JBoss Enterprise Application Platform) permitiría a los atacantes remotos no autenticados leer y manipular datos en el sistema.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 5.3/10.

CVE-2022-21386: La validación incorrecta de entradas dentro del componente de contenedor web en la aplicación afectada permitiría a los hackers remotos no autenticados acceder a información confidencial en el sistema objetivo.

La falla recibió un puntaje CVSS de 5.3/10.

CVE-2022-21262: La validación incorrecta de entradas dentro del componente Samples en Oracle WebLogic Server permitiría a los actores de amenazas remotos acceder a información confidencial del sistema afectado.

Esta falla recibió un puntaje CVSS de 5.3/10.

CVE-2022-21261: La validación de entrada incorrecta dentro del componente Samples permitiría a los atacantes remotos no autenticados manipular datos en el sistema afectado.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 5.3/10.

CVE-2022-21260: La validación incorrecta de entradas dentro del componente Samples en Oracle WebLogic Server permitiría a los hackers remotos leer y manipular datos confidenciales en el sistema afectado.

La falla recibió un puntaje CVSS de 5.3/10.

CVE-2022-21259: La validación de entrada incorrecta dentro del componente Samples permitiría a los actores de amenazas no autenticados manipular datos en un sistema objetivo.

La vulnerabilidad recibió un puntaje CVSS de 5.3/10.

CVE-2022-21258: La validación de entrada incorrecta en Samples permitiría a los hackers remotos leer y manipular datos en los sistemas afectados.

La falla recibió un puntaje CVSS de 5.3/10.

CVE-2022-21257: La validación incorrecta de entradas en el componente Samples permitiría a los atacantes remotos no autenticados manipular datos en el sistema objetivo.

La falla recibió un puntaje CVSS de 5.3/10.

Según el reporte, las fallas detectadas residen en las siguientes versiones de Oracle WebLogic Server: 12.2.1.4.0, 14.1.1.0.0.

Si bien la mayoría de las vulnerabilidades pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Aún así, Oracle recomienda a los usuarios de la aplicación afectada actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).