For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00370
Identificador(es)
ASA-2019-00370, CVE-2019-2729
Título
Vulnerabilidade de desserialização via XMLDecoder
Fabricante(s)
Oracle
Produto(s)
Oracle WebLogic Server
Versão(ões) afetada(s)
Oracle WebLogic Server versões 10.3.6.0.0, 12.1.3.0.0 e 12.2.1.3.0
Versão(ões) corrigida(s)
Oracle WebLogic Server com Security Alert CVE-2019-2725 aplicado
Prova de conceito
Desconhecido
Descrição
Uma vulnerabilidade de desserialização via XMLDecoder no Oracle WebLogic Server Web Services. Essa vulnerabilidade de execução remota de código é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha.
Detalhes técnicos
Desconhecido
Solução alternativa
Desconhecido
Créditos
Badcode (Knownsec 404 Team), Fangrun Li (Creditease Security Team), Foren Lim, Lucifaer, orich1 (CUIT D0g3 Secure Team), Sukaralin, WenHui Wang (State Grid), Ye Zhipeng (Qianxin Yunying Labs), Yuxuan Chen, Zhao Chang (Venustech ADLab)
e Zhiyi Zhang (Codesafe Team of Legendsec at Qi’anxin Group)
Referência(s)
Oracle Security Alert Advisory – CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
Security Alert CVE-2019-2729 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2729-released
[KnownSec 404 Team] Oracle WebLogic Deserialization RCE Vulnerability (0day) Alert Again (CVE-2019–2725 patch bypassed!!!)
https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15?postPublishedType=repub
CVE-2019-2729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729
CVE-2019-2729
https://nvd.nist.gov/vuln/detail/CVE-2019-2729
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 23 junho 2019