CRITICAL🇬🇧 English

CVE-2026-21962

Auth Bypass w Oracle HTTP Server i WebLogic Server Proxy Plug-in (CVSS 10.0)

CVSS 10.0v3.1pub. 2026-01-20upd. 2026-02-03

Krytyczna podatność w Oracle HTTP Server oraz Oracle WebLogic Server Proxy Plug-in umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do systemu przez HTTP bez żadnych uprawnień. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla środowisk korzystających z tych produktów.

Pokaż oryginał (EN)

Vulnerability in the Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in product of Oracle Fusion Middleware (component: Weblogic Server Proxy Plug-in for Apache HTTP Server, Weblogic Server Proxy Plug-in for IIS). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. While the vulnerability is in Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data as well as unauthorized access to critical data or complete access to all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data. Note: Affected version for Weblogic Server Proxy Plug-in for IIS is 12.2.1.4.0 only. CVSS 3.1 Base Score 10.0 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-284 (Improper Access Control) wynika z nieprawidłowej kontroli dostępu w komponentach WebLogic Server Proxy Plug-in dla Apache HTTP Server oraz dla IIS. Atakujący z dostępem sieciowym przez HTTP może wykorzystać lukę bez uwierzytelnienia i bez interakcji ze strony użytkownika. Eksploatacja powoduje zmianę zakresu (scope change), co oznacza, że skutki wykraczają poza bezpośrednio atakowany komponent i mogą dotknąć inne powiązane produkty.

Skutki

Atakujący może uzyskać nieautoryzowany pełny dostęp do odczytu krytycznych danych lub wszystkich danych dostępnych dla Oracle HTTP Server i WebLogic Server Proxy Plug-in, a także nieautoryzowanie tworzyć, modyfikować lub usuwać krytyczne dane. Podatność wpływa zarówno na poufność, jak i integralność danych (oba wskaźniki CVSS na poziomie HIGH).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — Oracle Critical Patch Update ze stycznia 2026 roku (https://www.oracle.com/security-alerts/cpujan2026.html). Ze względu na maksymalny wynik CVSS i brak wymagań wstępnych po stronie atakującego, aktualizacja powinna być przeprowadzona niezwłocznie.

Kogo dotyczy

Oracle HTTP Server oraz Oracle WebLogic Server Proxy Plug-in w wersjach 12.2.1.4.0, 14.1.1.0.0 oraz 14.1.2.0.0. Uwaga: dla WebLogic Server Proxy Plug-in dla IIS podatność dotyczy wyłącznie wersji 12.2.1.4.0.

Uwagi

Podatność opublikowana 20 stycznia 2026 r. w ramach kwartalnego Oracle Critical Patch Update. W referencjach widnieje publiczne repozytorium GitHub (Ashwesker/Ashwesker-CVE-2026-21962) oraz wpis na platformie X, co może wskazywać na dostępność publicznego proof-of-concept, jednak brak potwierdzenia aktywnej eksploatacji w bazie CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Oracle HTTP Server

    APP
    Oracle
    12.2.1.4.014.1.1.0.014.1.2.0.0
  • Oracle Weblogic Server Proxy Plug In

    APP
    Oracle
    12.2.1.4.014.1.1.0.014.1.2.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2021-40438CRITICAL9.0⚠ KEVten sam produkt

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2020-35169CRITICAL9.1ten sam produkt

Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before ...

CVE-2022-22720CRITICAL9.8ten sam produkt

Apache HTTP Server 2.4.52 and earlier fails to close inbound connection when errors are encountered discarding...

CVE-2022-22721CRITICAL9.1ten sam produkt

If LimitXMLRequestBody is set to allow request bodies larger than 350MB (defaults to 1M) on 32 bit systems an ...

CVE-2022-23943CRITICAL9.8ten sam produkt

Out-of-bounds Write vulnerability in mod_sed of Apache HTTP Server allows an attacker to overwrite heap memory...