Oracle WebLogic Server において認証なしにファイルアップロード画面にアクセス可能な脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.24(金)

Oracle WebLogic Server において認証なしにファイルアップロード画面にアクセス可能な脆弱性(Scan Tech Report)

開発用ソフトウェアである Oracle WebLogic Server に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
Oracle WebLogic Server
Oracle WebLogic Server 全 1 枚 拡大写真
◆概要

開発用ソフトウェアである Oracle WebLogic Server に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、悪意のあるファイルをアップロードされて、遠隔から任意のコードを実行されてしまいます。アクセス制御を見直すなどして対策してください。

◆分析者コメント

当該脆弱性に関する記事の言語が中国語のものが多く、日本でも開発に利用している企業が多いと考えられるソフトウェアであるため、アジア圏で狙われる可能性が高い脆弱性であると考えられます。ソフトウェアの性質上、アクセスが制限されたネットワーク環境に構築されている可能性が高いソフトウェアですが、当該ソフトウェアを利用している場合は、インターネット上からアクセスできる設定となっていないかどうかを確認することを推奨します。

◆深刻度(CVSS)

[CVSS 3.0]
9.8

https://nvd.nist.gov/vuln/detail/CVE-2018-2894

◆影響を受けるソフトウェア

以下のバージョンの Oracle WebLogic Server が、当該脆弱性の影響を受けます。

    - 10.3.6.0
    - 12.1.3.0
    - 12.2.1.2
    - 12.2.1.3

◆解説

Java による Web アプリケーションの開発ソフトウェアである Oracle WebLogic Server に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. MBSD国分裕の「脆弱性診断士育成」カリスマ授業

    MBSD国分裕の「脆弱性診断士育成」カリスマ授業

  2. 「アンとケイト」に不正アクセス、登録情報が流出の可能性(マーケティングアプリケーションズ)

    「アンとケイト」に不正アクセス、登録情報が流出の可能性(マーケティングアプリケーションズ)

  3. NTTデータ先端技術サイバーセキュリティインテリジェンスセンター設立目論見

    NTTデータ先端技術サイバーセキュリティインテリジェンスセンター設立目論見

  4. 一田和樹 サイバーブックレーダー「サイバー完全兵器」デービッド・サンガー著

    一田和樹 サイバーブックレーダー「サイバー完全兵器」デービッド・サンガー著

  5. 不正アクセスにより医師の氏名を騙るなりすましメールを送信(東京都保健医療公社 多摩北部医療センター)

    不正アクセスにより医師の氏名を騙るなりすましメールを送信(東京都保健医療公社 多摩北部医療センター)

  6. ファイルサーバがランサムウェア感染、一部は所外流出可能性も(権田総合法律事務所)

    ファイルサーバがランサムウェア感染、一部は所外流出可能性も(権田総合法律事務所)

  7. 顧客データ人質にされた独大手 SI 企業の攻防、攻撃者が本誌に語った言い分(The Register)

    顧客データ人質にされた独大手 SI 企業の攻防、攻撃者が本誌に語った言い分(The Register)

  8. 一次通過経験ゼロ、知人にすら読んでもらえないレベルの素人がサイバーセキュリティ小説コンテスト大賞受賞に至った経緯とは

    一次通過経験ゼロ、知人にすら読んでもらえないレベルの素人がサイバーセキュリティ小説コンテスト大賞受賞に至った経緯とは

  9. 国外から不正アクセス 個人情報削除、パスワードハッシュ化済も万全期し全件変更(愛媛CATV)

    国外から不正アクセス 個人情報削除、パスワードハッシュ化済も万全期し全件変更(愛媛CATV)

  10. もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)

    もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)

ランキングをもっと見る