Vulnerabilidad en Oracle Fusion Middleware (CVE-2017-10148)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2017
Última modificación:
20/04/2025
Descripción
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Core Components). Las versiones compatibles que se han visto afectadas son la 10.3.6.0, 12.1.3.0, 12.2.1.1 y la 12.2.1.2. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red vía T3 comprometa la seguridad de Oracle WebLogic Server. Aunque la vulnerabilidad está presente en Oracle WebLogic Server, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación de acceso no autorizada de algunos de los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Base Score 5.8 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N). NOTA: la información anterior es del CPU de julio de 2017. Oracle no ha respondido a las afirmaciones de terceros indicando que este problema permite que atacantes remotos inyecten datos especiales en archivos de registro mediante una petición T3 manipulada.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:oracle:weblogic_server:10.3.6.0.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:weblogic_server:12.1.3.0.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:weblogic_server:12.2.1.1.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:weblogic_server:12.2.1.2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
- http://www.securityfocus.com/bid/99652
- http://www.securitytracker.com/id/1038939
- https://erpscan.io/advisories/erpscan-17-042-anonymous-log-injection-in-fscm/
- https://github.com/vah13/OracleCVE/tree/master/CVE-2017-10148
- http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
- http://www.securityfocus.com/bid/99652
- http://www.securitytracker.com/id/1038939
- https://erpscan.io/advisories/erpscan-17-042-anonymous-log-injection-in-fscm/
- https://github.com/vah13/OracleCVE/tree/master/CVE-2017-10148