Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Oracle Fusion Middleware (CVE-2017-10148)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2017
Última modificación:
20/04/2025

Descripción

Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Core Components). Las versiones compatibles que se han visto afectadas son la 10.3.6.0, 12.1.3.0, 12.2.1.1 y la 12.2.1.2. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red vía T3 comprometa la seguridad de Oracle WebLogic Server. Aunque la vulnerabilidad está presente en Oracle WebLogic Server, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación de acceso no autorizada de algunos de los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Base Score 5.8 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N). NOTA: la información anterior es del CPU de julio de 2017. Oracle no ha respondido a las afirmaciones de terceros indicando que este problema permite que atacantes remotos inyecten datos especiales en archivos de registro mediante una petición T3 manipulada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oracle:weblogic_server:10.3.6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.2.0:*:*:*:*:*:*:*