{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-07-23","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2019-2725","url":"https://www.cve.org/CVERecord?id=CVE-2019-2725"},{"name":"CVE-2019-2729","url":"https://www.cve.org/CVERecord?id=CVE-2019-2729"}],"links":[{"title":"Publication de blogue de l'\u00e9quipe Knownsec 404 sur la CVE-2019-2729","url":"https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15"},{"title":"Avis CERT-FR CERTFR-2019-AVI-285","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-285/"},{"title":"Alerte du CERT-FR CERTFR-2019-ALE-005 du 26 avril 2019 sur la vuln\u00e9rabilit\u00e9 CVE-2019-2725","url":"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-005/"}],"reference":"CERTFR-2019-ALE-011","revisions":[{"description":"Version initiale","revision_date":"2019-06-20T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2019-07-23T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 18 juin 2019, Oracle a publi\u00e9 un avis de s\u00e9curit\u00e9 hors de son cycle\nhabituel de correctifs pour une vuln\u00e9rabilit\u00e9 jug\u00e9e critique.  \nCette faille d'identifiant CVE-2019-2729 affecte les serveurs WebLogic\net peut conduire \u00e0 une ex\u00e9cution de code arbitraire \u00e0 distance sans\nqu'une authentification soit n\u00e9cessaire.\n\nCette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 remont\u00e9e \u00e0 l'\u00e9diteur par plusieurs chercheurs\nen s\u00e9curit\u00e9 parmi lesquelles l'\u00e9quipe Knownsec 404.  \nDans une publication de blogue le 15 juin 2019 (cf. section\ndocumentation) l'\u00e9quipe, qui avait par ailleurs rapport\u00e9 au mois d'avril\n2019 une pr\u00e9c\u00e9dente vuln\u00e9rabilit\u00e9 affectant WebLogic, annonce avoir\nidentifi\u00e9 l'exploitation de la vuln\u00e9rabilit\u00e9 actuelle. Cette faille\nserait bas\u00e9e sur un contournement du correctif de s\u00e9curit\u00e9 d\u00e9ploy\u00e9 par\nOracle en avril 2019 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2019-2725.\n\nLe CERT-FR recommande l'application du correctif de s\u00e9curit\u00e9 dans les\nplus brefs d\u00e9lais.\n","title":"Vuln\u00e9rabilit\u00e9 dans Oracle WebLogic","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Oracle alert-cve-2019-2729-5570780 du 18 juin 2019","url":"https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html"}]}