CVE-2019-2725 — Vulnetix

CVE-2019-2725 CLOSED KEV CVSS 9.300000190734863 CRITICAL

Le 18 juin 2019, Oracle a publié un avis de sécurité hors de son cycle habituel de correctifs pour une vulnérabilité jugée critique. Cette faille d'identifiant CVE-2019-2729 affecte les serveurs WebLogic et peut conduire à une exécution de code arbitraire à distance sans qu'une authentification soit nécessaire. Cette vulnérabilité a été remontée à l'éditeur par plusieurs chercheurs en sécurité parmi lesquelles l'équipe Knownsec 404. Dans une publication de blogue le 15 juin 2019 (cf. section documentation) l'équipe, qui avait par ailleurs rapporté au mois d'avril 2019 une précédente vulnérabilité affectant WebLogic, annonce avoir identifié l'exploitation de la vulnérabilité actuelle. Cette faille serait basée sur un contournement du correctif de sécurité déployé par Oracle en avril 2019 relatif à la vulnérabilité CVE-2019-2725. Le CERT-FR recommande l'application du correctif de sécurité dans les plus brefs délais.

EPSS 94.47% · 100.0th percentile

Risk Scores

CVSS v4.0

9.300000190734863

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

EPSS Score

94.47%

100.0th percentile

Affected Products

Vendor	Product	Versions
Oracle	Weblogic

Timeline

Apr 26, 2019 CVE Published
May 1, 2019 PoC Published
May 7, 2019 PoC Published
Jun 19, 2019 PoC Published
Jul 23, 2019 CVE Updated
Apr 14, 2021 EPSS Score
Jun 22, 2021 EPSS Score
Jul 22, 2021 EPSS Score
Oct 24, 2021 EPSS Score
Dec 25, 2021 EPSS Score
Jan 10, 2022 CISA KEV Added
Feb 4, 2022 EPSS Score

References

Open in Interactive Console →