مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) با انتشار مطلبی نسبت به وجود یک آسیبپذیری حیاتی در سرویس دهنده Oracle WebLogic هشدار داده است.
آسیبپذیری مذکور با شناسه CVE-2019-2725 و درجه CVSS 9.8 مهاجم را قادر به اجرای کد مورد نظر خود بهصورت از راه دور میکند.
نسخههای 12.1.3.0.0 و 10.3.6.0.0 سرویسدهنده WebLogic به این ضعف امنیتی آسیبپذیر گزارش شدهاند.
همچنین انجام موارد زیر به عنوان راهکاری برای رفع موقت آسیبپذیری (تا زمان عرضه اصلاحیه آن) اعلام شده است:
- بررسی وجود و استفاده از دو پکیج wls9_async_response.war و wls-wsat.war و حذف یا جایگزینی آنها با پکیجهای دیگر
- جلوگیری از دسترسی به نشانیهایی همچون /_async/* و /wls-wsat/* برای کاربر احراز هویت نشده
اطلاعیه مرکز ماهر در لینک زیر قابل دریافت و مطالعه است: