Oracle publicó el martes su actualización trimestral de parches críticos para julio de 2021 con 342 correcciones que abarcan varios productos, algunas de las cuales podrían ser explotadas por un atacante remoto para tomar el control de un sistema afectado.
Oracle WebLogic Server es un servidor de aplicaciones que funciona como una plataforma para desarrollar, implementar y ejecutar aplicaciones empresariales basadas en Java.
La principal es la vulnerabilidad identificada como CVE-2019-2729, una vulnerabilidad de deserialización crítica a través de XMLDecoder en Oracle WebLogic Server Web Services, que es explotable remotamente sin autenticación. Cabe a señalar que la vulnerabilidades se abordó originalmente como parte de una actualización de seguridad fuera de banda en junio de 2019.
El vulnerabilidad, que tiene una calificación de 9.8 sobre un máximo de 10 en la escala de gravedad CVSS, que afecta a las versiones 11.1.2.4 y 11.2.5.0 de WebLogic Server y existe dentro de la tecnología de infraestructura Oracle Hyperion.
También se han corregido en WebLogic Server otros seis fallos, a tres de los cuales se les ha asignado una puntuación CVSS de 9,8 sobre 10.
- CVE-2021-2394 – CVSS: 9.8
- CVE-2021-2397 – CVSS: 9.8
- CVE-2021-2382 – CVSS: 9.8
- CVE-2021-2378 – CVSS: 7.5
- CVE-2021-2376 – CVSS: 7.5
- CVE-2021-2403 – CVSS: 5.3
Esta no es la primera vez que se descubren problemas críticos en WebLogic Server. A principios de este año, Oracle envió el parche de abril de 2021 con correcciones para dos errores (CVE-2021-2135 y CVE-2021-2136), entre otros que podrían ser explotados por cibercriminales para la ejecución código arbitrario en los servicios vulnerables.
Se aconseja a los clientes de Oracle en aplicar las actualizaciones los más pronto posible y a proteger los sistemas contra posibles explotación de las mismas por actores de amenazas y/o cibercriminales.
Más información:
https://www.oracle.com/security-alerts/cpujul2021.html
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
