Fecha de divulgación (fuente): 14 de abril de 2020 (Actualización de parches críticos de Oracle)
Fecha en la que se notificó la explotación activa (fuente): 7 de enero de 2025
CVE-2020-2883 es una vulnerabilidad crítica que afecta a las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0 de Oracle WebLogic Server, con una puntuación CVSS de 9,8.
Esta vulnerabilidad permite a un atacante no autenticado con acceso a la red a través de IIOP (Internet Inter-ORB Protocol) o T3 (protocolo propietario de WebLogic) ejecutar código arbitrario en los servidores Oracle WebLogic afectados. La explotación exitosa de esta vulnerabilidad puede resultar en la toma de control de las instancias vulnerables del servidor.
Oracle parcheó esta vulnerabilidad hace más de 4 años, en abril de 2020, y poco después advirtió a los clientes de clientes de la explotación activa, instándoles a parchear inmediatamente. A pesar de esto, la vulnerabilidad fue añadida recientemente a la lista de Vulnerabilidades Explotadas Conocidas (KEV) de CISA el 7 de enero de 2025. Al no haber informes recientes que sugieran un posible aumento renovado de la explotación, parece que se añadió como medida de precaución. En cualquier caso, si esta vulnerabilidad no ha sido abordada en su red, debe ser corregida lo antes posible.
| Campo |
Detalles |
| CVE-ID |
CVE-2020-2883 - CVSS 9.8 (Crítico) - asignado por NVD |
| Descripción de la vulnerabilidad |
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones soportadas afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de IIOP, T3 comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. |
| Fecha de divulgación |
14 de abril de 2020 (Actualización de parches críticos de Oracle) |
| Activos afectados |
Oracle WebLogic Server producto de Oracle Fusion Middleware (componente: Core) |
| Versiones de software vulnerables |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
| ¿PoC disponible? |
Múltiples exploits PoC están disponibles en GitHub. |
| Estado de explotación |
Esta vulnerabilidad está siendo explotada activamente y fue añadida a CISA KEV el 7 de enero de 2025. |
| Estado del parche |
Los parches están disponibles como parte de la actualización de parches críticos de Oracle de Actualización de parches críticos de abril de 2020. Se recomienda encarecidamente a las organizaciones que los apliquen inmediatamente. |
Censys Perspectiva
En el momento de escribir estas líneas, Censys observó 236 servidores Oracle WebLogic expuestos. Una gran proporción de ellos (67%) están geolocalizados en China. Tenga en cuenta que no todas las instancias observadas son necesariamente vulnerables, ya que no siempre disponemos de versiones específicas.
Observamos 139 hosts con la versión 10.3.6.0 expuesta. Mientras que la 10.3.6.0.0 está explícitamente listada en el NVD como una versión vulnerable, la 10.3.6.0 no lo está. Sin embargo, debido a variaciones en las prácticas semánticas de versionado, no está claro si la 10.3.6.0 también debería considerarse vulnerable. En ausencia de información definitiva, nos vemos obligados a asumir que 10.3.6.0 no es vulnerable.
Mapa de instancias expuestas de Oracle WebLogic Server
Censys Consulta de búsqueda:
services.software: (vendor="Oracle" and product="WebLogic Server")
Tenga en cuenta que esta huella digital se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Censys Consulta ASM:
host.services.software: (vendor="Oracle" and product="WebLogic Server")
Riesgo:
risks.name: "Vulnerable Oracle WebLogic Server [CVE-2020-2883]"
Tenga en cuenta que este riesgo se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Referencias
