Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidad crítica en Oracle WebLogic y Google Chrome

A día 2 de noviembre de 2020, dos vulnerabilidades diferentes han sido identificadas para Oracle WebLogic server y el navegador Google Chrome respectivamente. La primera premitiría a un atacante comprometer el servidor a través de una petición HTTP [1] , mientras que la vulnerabilidad de Google Chrome permitiŕia ejecución remota de código a través del navegador. [2]
03 Nov 2020

ANÁLISIS

La vulnerabilidad de WebLogic ha sido clasificada como CVE-2020-14882 con una puntuación crítica de CVSS de 9.8. Las versiones con soporte afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0. 

Se ha afirmado que se trata de una vulnerabilidad fácilmente explotable a través de una petición GET, y que está siendo activamente explotada [4]. Un ataque exitoso permitiría tomar el control del servidor de Oracle WebLogic. 

Existen publicadas distintas PoC para esta vulnerabilidad  [5][6]. Oracle ya ha publicado un parche de seguridad [1].

La vulnerabilidad Zero-day de Google Chrome ha sido clasificada como CVE-2020-16009 [7]. Todavía no tiene asignada una puntuación CVSS pero es esperada una puntuación de severidad crítica.

Esta vulnerabilidad consiste en la explotación del heap a través de un documento HTML elaborado específicamente, y es debida a la "implementación inapropiada" de V8, el motor de javascript del navegador Google Chrome. Se ha afirmado que esta vulnerabilidad también está siendo activamente explotada [8].

Todas las versiones de Google Chrome anteriores a 86.0.4240.183 están afectadas. Sin embargo, Google ya ha publicado una actualización de seguridad [9].

RECOMENDACIONES 

Se recomienda aplicar con urgencia las actualizaciones de seguridad provistas por los desarrolladores.

REFERENCIAS

[1] https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
[2] https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2020-14882
[4] https://www.bleepingcomputer.com/news/security/critical-oracle-weblogic-flaw-actively-targeted-in-attacks/
[5] https://unaaldia.hispasec.com/2020/10/vulnerabilidad-critica-en-oracle-weblogic.html
[6] https://github.com/jas502n/CVE-2020-14882
[7] https://nvd.nist.gov/vuln/detail/CVE-2020-16009
[8] https://thehackernews.com/2020/11/new-chrome-zero-day-under-active.html
[9] https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop.html

Artículos relacionados
Ver todas →
Alertas
Varias vulnerabilidades 0-day para Microsoft Exchange
Leer más →
Alertas
Vulnerabilidad en los controladores lógicos programables(PLC) de Schneider Electric
Leer más →
Alertas
Vulnerabilidad HiveNightmare en Windows 10
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día