Oracle ha publicado una nueva actualización de Weblogic fuera de su ciclo de actualizaciones habitual, para solucionar una vulnerabilidad crítica que permite la ejecución remota de código sin necesidad de autenticación previa.
Esta nueva vulnerabildad, con CVE-2020-14750 está estrechamente relacionada con la CVE-2020-14882, de la que hemos hablado recientemente. Aquella vulnerabildad permitía el acceso a rutas de la aplicación restringidas, mediante la utilización de caracteres códificados. El servidor autorizaba la petición antes de la decodificación completa de la ruta, que mediante el uso de la cadena ../ modificaba el destino de la misma, y se dirigía a funciones solo accesibles mediante autenticación.
En el parche, incluido en la actualización de octubre, se comprueba que la petición no incluya ciertas cadenas de caracteres, denegando la petición en caso de encontrarlas. Sin embargo, no se tuvo en cuenta que los caracteres codificados pueden escribirse también en minúscula, un simple cambio que consigue evadir el filtro impuesto:
Este fallo se debe, muy probablemente, a las prisas por incluir el parche en el conjunto de actualizaciones de octubre, ya que existía una prueba de concepto y un riesgo muy alto de que estuviese siendo explotado activamente.
Dada la severidad de esta vulnerabilidad y publicación en diferentes sitios, Oracle recomienda a sus clientes aplicar el parche de manera urgente, sin esperar al siguiente paquete de actualizaciones.
Versiones afectadas:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
Más información
https://threatpost.com/oracle-update-weblogic-server-flaw/160889/
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
Fuente: somoslibres
