Oracle a publié un correctif de sécurité pour WebLogic mardi, en dehors du calendrier habituel, afin de neutraliser une vulnérabilité critique d’exécution de code arbitraire à distance, suite à l’avertissement par des chercheurs que la vulnérabilité était exploitée activement par les gens.
De référence CVE-2019-2729 / CERTFR-2019-AVI-285, la vulnérabilité permet à un attaquant d’exécuter du code sur le serveur WebLogic, versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0 sans avoir été authentifié.
Elle est occasionnée par un bogue de désérialisation, découvert par KnownSec 404 Team, qui avait déjà découvert et divulgué une vulnérabilité jour zéro similaire en avril.