Hack Alerta

Falha crítica em proxy do Oracle WebLogic (CVE-2026-21962)

Por Redação Hack Alerta Publicado em 21/01/2026 05:03 Riscos e Ameaças Tempo de leitura: 3 min

CVE‑2026‑21962: vulnerabilidade crítica no WebLogic Server Proxy Plug‑in para Oracle HTTP Server e IIS com CVSS 10.0 permite execução remota sem autenticação e mudança de escopo para backend. Oracle publicou patches no CPU; mitigação temporária inclui restrição de acesso por IP.

Exploração remota sem autenticação afeta Oracle HTTP Server e plug‑in de proxy

Foi divulgada uma vulnerabilidade crítica que atinge componentes de proxy do Oracle Fusion Middleware — Oracle HTTP Server e WebLogic Server Proxy Plug‑in — e recebeu a identificação CVE‑2026‑21962 com nota base de CVSS 3.1 igual a 10.0.

Descoberta e escopo

O defeito está no tratamento de requisições pelo WebLogic Server Proxy Plug‑in para Apache HTTP Server e para Microsoft IIS. Como a falha reside na camada de proxy, ela permite exploração remota sem autenticação e sem interação do usuário, em geral a partir de acesso de rede HTTP à porta exposta.

Impacto técnico

  • Complexidade de ataque baixa; atacante não autenticado pode contornar controles.
  • Métrica de Scope (S:C) indica que o sucesso no plug‑in pode provocar impacto em recursos além do componente — possibilidade de pivot para backend WebLogic.
  • Impacto informado inclui perda total de confidencialidade e integridade, tornando o servidor efetivamente comprometido.

Componentes e versões afetadas

O relatório lista os seguintes componentes e versões como suportados e vulneráveis:

  • Oracle HTTP Server / Proxy Plug‑in: 12.2.1.4.0, 14.1.1.0.0 e 14.1.2.0.0.
  • WebLogic Server Proxy Plug‑in for IIS: versão 12.2.1.4.0.

Correção e mitigação

O fornecedor publicou correções dentro do seu Critical Patch Update (CPU) e administradores são instruídos a aplicar os patches imediatamente. Como medida temporária, caso não seja possível aplicar o patch de imediato, recomenda‑se restringir o acesso de rede às portas HTTP afetadas apenas a endereços IP confiáveis — observando que isso pode interromper tráfego legítimo.

Implicações operacionais

Ambientes em DMZ que utilizam o Proxy Plug‑in para encaminhar requisições para clusters WebLogic devem priorizar a verificação dos artefatos listados. Devido à natureza da falha (escopo mudando para backend), o risco inclui exfiltração de dados, alteração de conteúdo e possibilidade de movimento lateral para sistemas críticos.

O que falta e ações recomendadas

O material consultado descreve a gravidade, vetores e versões vulneráveis, além da disponibilidade de patches no CPU da Oracle. Não foram publicadas, nas fontes usadas, evidências públicas de exploração ativa em larga escala no momento da divulgação. Equipes de segurança devem:

  • Inventariar proxies e WebLogic expostos e comparar versões com as listadas;
  • Aplicar o CPU da Oracle conforme indicado;
  • Monitorar logs de proxy e tráfego HTTP por sinais de exploração e tentativas de bypass;
  • Planejar testes de contingência para mitigações de rede que possam afetar disponibilidade.

Por fim, dada a criticidade e a pontuação CVSS máxima, a falha exige atenção imediata de CISOs e administradores responsáveis por infraestruturas que empreguem WebLogic em frente a Internet ou em zonas de borda.

Baseado em publicação original de Cyber Security News
Tags: #oracle #weblogic #cve-2026-21962 #proxy #fusion-middleware #rce #patch #cpu #dmz
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar