В последнем официальном патче #Oracle от января 2024 г была исправлена #RCE уязвимость, основанная на протоколе #Weblogic T3\IIOP #CVE-2024-20931. Уязвимость была представлена в Oracle автором в октябре 2023 года и относится к обходу патча CVE-2023-21839, что влечет за собой новую поверхность атаки для #JNDI.
Описание пока скудное, но думаем скоро появятся статьи с разбором.
https://github.com/GlassyAmadeus/CVE-2024-20931
Описание пока скудное, но думаем скоро появятся статьи с разбором.
https://github.com/GlassyAmadeus/CVE-2024-20931
Критическая уязвимость #CVE-2024-21216 в Oracle #WebLogic Server - Позволяет неаутентифицированному злоумышленнику, имеющему доступ к сети через T3 и IIOP привести к полному захвату сервера.
CVSS 3.1 Score: 9.8
Уязвимы версии: с 12.2.1.4.0 по 14.1.1.0.0
https://github.com/advisories/GHSA-r389-865g-hcg3
CVSS 3.1 Score: 9.8
Уязвимы версии: с 12.2.1.4.0 по 14.1.1.0.0
https://github.com/advisories/GHSA-r389-865g-hcg3