Kyseessä on WebLogic-palvelimen haavoittuvuus, jonka hyödyntäminen on mahdollista etänä ilman minkäänlaista tunnistautumista.. Haavoittuvuutta voi siis hyödyntää verkon kautta ilman salasanaa tai käyttäjätunnusta, Oracle tiedottaa.

Oracle suosittelee asiakkaitaan asentamaan haavoittuvuuden paikkaavan päivityksen viipymättä. Toimenpiteen kiireellisyyttä alleviivaavat sekä haavoittuvuuden vakavuus sekä se, että haavoittuvuuden hyödyntämiskoodi on julkaistu useilla verkkosivustoilla.

Nyt paikattu WebLogic-haavoittuvuus (CVE-2020-14750) liittyy toiseen, jo lokakuussa tilkittyyn tietoturva-aukkoon (CVE-2020-14882). Molempien cvss-arvosana (common vulnerability scoring system) on 9,8/10, mikä merkitsee äärimmäisen vakavaa tietoturvauhkaa.

Kummankin haavoittuvuuden osalta haavoittuvia Oracle WebLogic Serverin ohjelmistoversioita ovat 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 ja 14.1.1.0.0.