Krytyczna podatność w Oracle HTTP Server oraz Oracle WebLogic Server Proxy Plug-in umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do systemu przez HTTP bez żadnych uprawnień. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla środowisk korzystających z tych produktów.
▸ Pokaż oryginał (EN)
Vulnerability in the Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in product of Oracle Fusion Middleware (component: Weblogic Server Proxy Plug-in for Apache HTTP Server, Weblogic Server Proxy Plug-in for IIS). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0 and 14.1.2.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in. While the vulnerability is in Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data as well as unauthorized access to critical data or complete access to all Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in accessible data. Note: Affected version for Weblogic Server Proxy Plug-in for IIS is 12.2.1.4.0 only. CVSS 3.1 Base Score 10.0 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).
Podatność sklasyfikowana jako CWE-284 (Improper Access Control) wynika z nieprawidłowej kontroli dostępu w komponentach WebLogic Server Proxy Plug-in dla Apache HTTP Server oraz dla IIS. Atakujący z dostępem sieciowym przez HTTP może wykorzystać lukę bez uwierzytelnienia i bez interakcji ze strony użytkownika. Eksploatacja powoduje zmianę zakresu (scope change), co oznacza, że skutki wykraczają poza bezpośrednio atakowany komponent i mogą dotknąć inne powiązane produkty.
Atakujący może uzyskać nieautoryzowany pełny dostęp do odczytu krytycznych danych lub wszystkich danych dostępnych dla Oracle HTTP Server i WebLogic Server Proxy Plug-in, a także nieautoryzowanie tworzyć, modyfikować lub usuwać krytyczne dane. Podatność wpływa zarówno na poufność, jak i integralność danych (oba wskaźniki CVSS na poziomie HIGH).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — Oracle Critical Patch Update ze stycznia 2026 roku (https://www.oracle.com/security-alerts/cpujan2026.html). Ze względu na maksymalny wynik CVSS i brak wymagań wstępnych po stronie atakującego, aktualizacja powinna być przeprowadzona niezwłocznie.
Oracle HTTP Server oraz Oracle WebLogic Server Proxy Plug-in w wersjach 12.2.1.4.0, 14.1.1.0.0 oraz 14.1.2.0.0. Uwaga: dla WebLogic Server Proxy Plug-in dla IIS podatność dotyczy wyłącznie wersji 12.2.1.4.0.
Podatność opublikowana 20 stycznia 2026 r. w ramach kwartalnego Oracle Critical Patch Update. W referencjach widnieje publiczne repozytorium GitHub (Ashwesker/Ashwesker-CVE-2026-21962) oraz wpis na platformie X, co może wskazywać na dostępność publicznego proof-of-concept, jednak brak potwierdzenia aktywnej eksploatacji w bazie CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NOracle HTTP Server
APPOracle12.2.1.4.014.1.1.0.014.1.2.0.0Oracle Weblogic Server Proxy Plug In
APPOracle12.2.1.4.014.1.1.0.014.1.2.0.0
Powiązane podatności
A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...
Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before ...
Apache HTTP Server 2.4.52 and earlier fails to close inbound connection when errors are encountered discarding...
If LimitXMLRequestBody is set to allow request bodies larger than 350MB (defaults to 1M) on 32 bit systems an ...
Out-of-bounds Write vulnerability in mod_sed of Apache HTTP Server allows an attacker to overwrite heap memory...