ASA-2019-00239 – WebLogic: Os componentes wls9_async e wls-wsat contém vulnerabilidade de execução remota de código devido a desserialização


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00239

Identificador(es)

ASA-2019-00239, CVE-2019-2725

Título

Os componentes wls9_async e wls-wsat contém vulnerabilidade de execução remota de código devido a desserialização

Fabricante(s)

Oracle

Produto(s)

Oracle WebLogic Server

Versão(ões) afetada(s)

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0

Versão(ões) corrigida(s)

Critical Patch Update April 2019

Prova de conceito

Sim

Descrição

Essa vulnerabilidade de execução remota de código é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha.

Os componentes wls9_async e wls-wsat do Oracle WebLogic acionam a vulnerabilidade de execução remota de comandos devido a desserialização. Essa vulnerabilidade afeta todas as versões do WebLogic (incluindo a versão mais recente) que possuem os componentes wls9_async_response.war e wls-wsat.war ativados.

Detalhes técnicos

Desconhecido

Créditos

Badcode (Knownsec 404 Team), Hongwei Pan (Minsheng Banking Corp.), Liao Xinxi (NSFOCUS Security Team), Lin Zheng (Minsheng Banking Corp.), Song Keya (Minsheng Banking Corp.), Tianlei Li (Minsheng Banking Corp.), ZengShuai Hao e Zhiyi Zhang (360 ESG Codesafe Team)

Referência(s)

Oracle Security Alert Advisory – CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

[KnownSec 404 Team] Oracle WebLogic Deserialization RCE Vulnerability (0day) Alert(update on 26th April)
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93

Oracle Weblogic Server – ‘AsyncResponseService’ Deserialization Remote Code Execution (Metasploit)
https://www.exploit-db.com/exploits/46814

WebLogic RCE (CVE-2019–2725) Debug Diary
https://medium.com/@knownsec404team/weblogic-rce-cve-2019-2725-debug-diary-bb5b3b8b9e6

关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告
http://www.cnvd.org.cn/webinfo/show/4989

WebLogic RCE (CVE-2019-2725) Debug Diary
https://paper.seebug.org/910/

Weblogic XMLDecoder RCE分析
https://paper.seebug.org/487/

CVE-2019-2725
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725

CVE-2019-2725
https://nvd.nist.gov/vuln/detail/CVE-2019-2725

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 12 maio 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.