Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
0-day w serwerze aplikacyjnym WebLogic był jeszcze niedawno aktywnie wykorzystywany
Podatność o niemal maksymalnym ryzyku (9.8/10 w skali CVE) została ostatnio załatana w nadzwyczajnym trybie. Można by sądzić że po tym opracowaniu, mającym już kilka lat – podatności klasy nieuwierzytelnione RCE w komponencie związanym z deserializacją nie powinny się już zdarzać w serwerach aplikacyjnych
A tym czasem niespodzianka – mamy właśnie wykonanie kodu poprzez javową deserializację w serwerze aplikacyjnym WebLogic. Co więcej nie wymaga ona uwierzytelnienia i zapewne jest jeszcze aktywnie wykorzystywana.
–ms
Tu też jest fajna analiza, można dorzucić do linków https://sissden.eu/blog/oracle-weblogic-0day