7.5высокая
BDU:2015-12099 (CVE-2015-4852)
Уязвимость сервера приложений Oracle WebLogic Server, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2015-12-14
Описание
Уязвимость компонента WLS Security сервера приложений Oracle WebLogic Server связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специальным образом сформированных объектов Java, передаваемых по TCP протоколу и связанных с oracle_common/modules/com.bea.core.apache.commons.collections.jar
Затрагиваемое ПО и версии
WebLogic Server (10.3.6.0)WebLogic Server (12.2.1.0)WebLogic Server (12.1.3.0)WebLogic Server (12.1.2.0)Retail Xstore Point of Service (7.0)Communications WebRTC Session Controller (до 7.2)Retail Xstore Point of Service (7.1)Oracle Retail Clearance Optimization Engine (14.0)Communications Performance Intelligence Center (PIC) Software (до 10.2.1)Communications Application Session Controller (до 3.7.1M0)Oracle Retail Clearance Optimization Engine (13.2)Oracle Retail Clearance Optimization Engine (13.3)Oracle Retail Clearance Optimization Engine (13.4)Retail Xstore Point of Service (5.0)Retail Xstore Point of Service (5.5)Retail Xstore Point of Service (6.0)Retail Xstore Point of Service (6.5)StorageTek Tape Analytics SW Tool (до 2.2.1)
Способ устранения
Использование рекомендаций производителя, доступных по адресу:
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html
https://www.oracle.com/security-alerts/cpuapr2017.html
https://www.oracle.com/security-alerts/cpujan2018.html
https://www.oracle.com/security-alerts/cpuoct2016.html
https://www.oracle.com/security-alerts/cpuoct2017.html
Оценка CVSS
| Балл | 7.5 — высокая опасность |
Источники и патчи