Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2019-2725)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
26/04/2019
Última modificación:
07/02/2025
Descripción
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Web Services). Las versiones afectadas son la 10.3.6.0.0 y la 12.1.3.0.0.0. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden dar lugar a la adquisición de Oracle WebLogic Server. CVSS 3.0 Base Score 9.8 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:agile_plm:9.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_plm:9.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_plm:9.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_converged_application_server:5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_converged_application_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_converged_application_server:7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.56:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.57:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.58:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:storagetek_tape_analytics_sw_tool:2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:tape_library_acsls:8.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:tape_virtual_storage_manager_gui:6.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:vm_virtualbox:*:*:*:*:*:*:*:* | 5.2.36 (excluyendo) | |
| cpe:2.3:a:oracle:vm_virtualbox:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.16 (excluyendo) |
| cpe:2.3:a:oracle:vm_virtualbox:*:*:*:*:*:*:*:* | 6.1.0 (incluyendo) | 6.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/152756/Oracle-Weblogic-Server-Deserialization-Remote-Code-Execution.html
- http://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
- http://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
- http://www.securityfocus.com/bid/108074
- https://support.f5.com/csp/article/K90059138
- https://www.exploit-db.com/exploits/46780/
- https://www.oracle.com/security-alerts/alert-cve-2019-2725.html#AppendixFMW
- https://www.oracle.com/security-alerts/cpujan2020.html
- http://packetstormsecurity.com/files/152756/Oracle-Weblogic-Server-Deserialization-Remote-Code-Execution.html
- http://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
- http://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
- http://www.securityfocus.com/bid/108074
- https://support.f5.com/csp/article/K90059138
- https://www.exploit-db.com/exploits/46780/
- https://www.oracle.com/security-alerts/alert-cve-2019-2725.html#AppendixFMW
- https://www.oracle.com/security-alerts/cpujan2020.html