Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Prueba de concepto de vulnerabilidad de ejecución remota de código en Oracle JDeveloper ADP (CVE-2022-21445)

CVE-2022-21445 es una vulnerabilidad de ejecución remota de código que fue parcheada por Oracle en abril con una puntuación CVSS de 9,8. Sin embargo, se ha publicado una prueba de concepto con el código de explotación.
28 Jun 2022

ANÁLISIS

El fallo existe en el componente ADF Faces, se trata de la deserialización de datos no confiables que podría llevar a la ejecución de código arbitrario. La vulnerabilidad, fácilmente explotable, permite a los atacantes no autentificados con acceso a la red a través de HTTP comprometer a Oracle JDeveloper.

La vulnerabilidad afecta a todas las aplicaciones que dependen de ADF Faces, incluyendo

  • Business Intelligence
  • Enterprise Manager
  • Gestión de identidades
  • SOA Suite
  • Portal WebCenter
  • Suite de pruebas de aplicaciones
  • Gestión de transporte

Versiones afectadas:

12.2.1.3.0
12.2.1.4.0

RECOMENDACIONES

Oracle recomienda encarecidamente que los clientes apliquen los parches de seguridad lo antes posible.

REFERENCIAS

https://securityonline.info/researcher-details-oracle-jdeveloper-adf-faces-rce-cve-2022-21445/
https://peterjson.medium.com/miracle-one-vulnerability-to-rule-them-all-c3aed9edeea2
https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA

Artículos relacionados
Ver todas →
Alertas
Campaña Emotet emails maliciosos
Leer más →
Alertas
Múltiples vulnerabilidades en Jira Server y Jira Data Center de Atlassian
Leer más →
Alertas
Vulnerabilidad en la librería de XML Expat (CVE-2022-23852)
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día