NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
0-day w serwerze aplikacyjnym WebLogic był jeszcze niedawno aktywnie wykorzystywany
Podatność o niemal maksymalnym ryzyku (9.8/10 w skali CVE) została ostatnio załatana w nadzwyczajnym trybie. Można by sądzić że po tym opracowaniu, mającym już kilka lat – podatności klasy nieuwierzytelnione RCE w komponencie związanym z deserializacją nie powinny się już zdarzać w serwerach aplikacyjnych
A tym czasem niespodzianka – mamy właśnie wykonanie kodu poprzez javową deserializację w serwerze aplikacyjnym WebLogic. Co więcej nie wymaga ona uwierzytelnienia i zapewne jest jeszcze aktywnie wykorzystywana.
–ms
Tu też jest fajna analiza, można dorzucić do linków https://sissden.eu/blog/oracle-weblogic-0day