Un classico tra i classici, il bug sulla fix ... e non è la prima volta su Oracle WebLogic.


All'inizio di questo anno, venne rilevata una vulnerabilità di deserializzazione in #Oracle #WebLogic Server.


Questo #bug è stato corretto da Oracle e assegnato il CVE-2020-2555, ma pur tuttavia, il ricercatore #Quynh Le di #VNPT ISC ha rilevato un ulteriore nuovo #bug inviato a #Zerday Iniziative che mostrava come si potesse #bypassare la #fix prodotta.


Questo bug, classificato come CVE-2020-2883 , viene ora segnalato da #Oracle come utilizzato in #attacchi attivi.


Tutto risiede in una vulnerabilità che si trova nella libreria #Coherence dove qualsiasi applicazione con questa libreria attiva, presenta un inpatto di deserialization.


Molti prodotti sono impattanti tra i quali Oracle Business Intelligence, che viene distribuito su Oracle WebLogic.


#redhotcyber #cybersecurity #ricerca