Ende vergangener Woche warnten Oracle und Forscher des SANS Internet Storm Center (ISC) vor möglicherweise kurz bevorstehenden Angriffen auf die kritische Sicherheitslücke CVE-2020-14882 in mehreren Versionen von Oracles WebLogic Server. Patches hatte das Unternehmen bereits im Zuge seines vierteljährlichen "Critical Patchday" veröffentlicht.
Nun liegt eine separate Sicherheitswarnung zu einer ganz ähnlichen kritischen Lücke vor, die beim Patchday nicht thematisiert wurde. Laut Oracles frisch veröffentlichtem Security Alert Advisory zu CVE-2020-14750 ist sie eng mit CVE-2020-14882 verwandt. Angesichts desselben Schweregrads (CVSS-Score 9.8, "Critical") und der Tatsache, dass Exploit Code laut Advisory gleich auf mehreren Websites verfügbar sein soll, rät Oracle zum sofortigen Einspielen der bereitstehenden Patches.
Unauthentifizierte Remote Code Execution
Wie auch schon via CVE-2020-14882 können entfernte Angreifer via CVE-2020-14750 ohne vorherige Authentifizierung Code aus der Ferne ausführen (Remote Code Execution). Auch die betroffenen Versionen, nämlich WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0, sind identisch. Weitere technische Details nennt das Advisory nicht.
Als Zugang zu den verfügbaren Patches verlinkt Oracle im Advisory ein "Patch Availability Document", das registrierte Nutzer über ihren Oracle Account abrufen können.
...
Quelle: Eine Lücke kommt selten allein: Oracle meldet weitere Gefahr für WebLogic Server | heise online