Oracle a publié mardi son rapport trimestriel Mise à jour des correctifs critiques pour juillet 2021 avec 342 correctifs couvrant plusieurs produits, dont certains pourraient être exploités par un attaquant distant pour prendre le contrôle d’un système affecté.

Le principal d’entre eux est CVE-2019-2729, une vulnérabilité de désérialisation critique via XMLDecoder dans les services Web Oracle WebLogic Server qui est exploitable à distance sans authentification. Il convient de noter que la faiblesse a été corrigée à l’origine dans le cadre d’un mise à jour de sécurité hors bande en juin 2019.

Oracle WebLogic Server est un serveur d’applications qui fonctionne comme une plate-forme pour le développement, le déploiement et l’exécution d’applications Java d’entreprise.

La faille, notée 9,8 sur un maximum de 10 sur l’échelle de gravité CVSS, affecte les versions 11.1.2.4 et 11.2.5.0 de WebLogic Server et existe au sein de la technologie d’infrastructure Oracle Hyperion.

Six autres failles ont également été corrigées dans WebLogic Server, dont trois ont reçu un score CVSS de 9,8 sur 10 —

C’est loin d’être la première fois que des problèmes critiques sont découverts dans WebLogic Server. Plus tôt cette année, Oracle a livré le Patch d’avril 2021 avec des correctifs pour deux bogues (CVE-2021-2135 et CVE-2021-2136), parmi d’autres qui pourraient être abusés pour exécuter du code arbitraire.

Il est conseillé aux clients Oracle d’agir rapidement pour appliquer les mises à jour et protéger les systèmes contre une exploitation potentielle.