Oracle waarschuwt voor een nieuwe en zeer ernstige kwetsbaarheid in WebLogic Server waardoor aanvallers systemen op afstand kunnen overnemen zonder dat er authenticatie is vereist. Op verschillende websites is er inmiddels exploitcode verschenen om misbruik van het lek te maken.
De kwetsbaarheid, aangeduid als CVE-2020-14750, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Het beveiligingslek is gerelateerd aan een andere kwetsbaarheid met het CVE-nummer CVE-2020-14882. Op 20 oktober kwam Oracle met een beveiligingsupdate voor CVE-2020-14882. Vorige week verschenen er vervolgens berichten dat deze kwetsbaarheid actief werd aangevallen. Ook dit beveiligingslek is met een 9,8 beoordeeld. Volgens securitybedrijf Rapid7 zijn er honderden WebLogic-servers op internet te vinden die kwetsbaar voor CVE-2020-14882 zijn.
https://www.security.nl/posting/676298/Oracle+waarschuwt+voor+zeer+ernstig+lek+in+WebLogic+Server