リモートホストにインストールされているテスト済み製品のバージョンは、テスト済みバージョンより前です。したがって、2020年4月のCPUのアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Log4j SocketServerクラスに、信頼性の低いデータの安全でない逆シリアル化に起因するリモートコード実行の脆弱性があります。認証されていないリモート攻撃者がこれを悪用し、ログデータの信頼性の低いネットワークトラフィックをリッスンしているときに逆シリアル化ガジェットと組み合わせて、任意のコードをリモートで実行する可能性があります。これは、Log4jバージョン1.2まで（1.2.17まで）に影響を与えます。（CVE-2019-17571）

  - Consoleコンポーネントに、情報漏えいの脆弱性が存在します。認証されていないリモート攻撃者がこれを悪用し、Oracle WebLogic Serveのアクセス可能データに対する不正な読み取りアクセス権を取得する可能性があります。（CVE-2020-2766）

  - WLS Web Servicesコンポーネントに脆弱性が存在します。認証されていないリモート攻撃者がT3を介してこれを悪用し、Oracle WebLogic Serverを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogicサーバーの乗っ取りが発生する可能性があります。（CVE-2020-2798）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Oracle WebLogic Serverの複数の脆弱性（2020年4月CPU）

critical Nessus プラグイン ID 135680

バージョン 1.12

バージョン 1.11

バージョン 1.10

バージョン 1.9

バージョン 1.12 Jan 4, 2024, 3:23 PM Detection Plugin Feed: 202401041523
バージョン 1.11 Dec 12, 2023, 5:15 PM Detection Plugin Feed: 202312121715
バージョン 1.10 Feb 7, 2023, 2:16 PM CVSSv2 score source (changed from "CVE-2019-17571" to "CVE-2020-2884") Exploit attributes ("Exploit framework core" set to "True") CVSSv3 score source (set to "CVE-2020-2884") Plugin Feed: 202302071416
バージョン 1.9 Dec 6, 2022, 1:01 AM Reference Plugin Feed: 202212060101