Критические уязвимости Oracle WebLogic Server: апрельское обновление устраняет риски удаленного выполнения кода и утечки данных

Корпорация Oracle выпустила плановое обновление безопасности для своего продукта Oracle WebLogic Server. Бюллетень (cpuapr2026) затрагивает четыре поддерживаемые версии сервера приложений: 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 и 15.1.1.0.0. В центре внимания специалистов по кибербезопасности оказались не только собственные уязвимости продукта, но и целый спектр проблем в популярных библиотеках языка Java, которые входят в состав платформы или часто используются с ней. Совокупность обнаруженных дефектов позволяет злоумышленнику вызвать удаленное выполнение произвольного кода, организовать отказ в обслуживании, нарушить конфиденциальность и целостность данных, а также обойти политики безопасности.

Детали уязвимостей

Наиболее опасные уязвимости выявлены непосредственно в компонентах Oracle WebLogic Server. Первая из них, CVE-2026-34292 (оценка 7,2 балла по шкале CVSS 3.1), затрагивает ядро сервера. Для ее эксплуатации атакующему требуются высокие привилегии и доступ по протоколу HTTP. Успешная атака, как сообщает Oracle, может привести к полному захвату управления над уязвимой системой. Две другие уязвимости, CVE-2026-34305 и CVE-2026-34315, находятся в компоненте Web Services (веб-службы). Они особенно опасны тем, что не требуют аутентификации: CVE-2026-34305 (оценка 7,5) позволяет неавторизованному удаленному злоумышленнику получить несанкционированный доступ к критически важным данным, а CVE-2026-34315 (оценка 6,5) - несмотря на необходимость взаимодействия с пользователем - дает возможность модифицировать или удалять информацию на сервере.

Однако апрельский патч Oracle затрагивает более широкий контекст безопасности Java-экосистемы. В ходе анализа бюллетеня стало известно, что в обновление включены исправления для нескольких известных уязвимостей в сторонних библиотеках, которые могут быть использованы для атак на WebLogic Server или на приложения, развернутые на нем. Все эти уязвимости были опубликованы в разное время в 2025-2026 годах, но теперь их исправления объединены в единый релиз.

Особого внимания заслуживает проблема в библиотеке Hibernate Validator (CVE-2025-35036). В версиях до 6.2.0 и 7.0.0 включительно по умолчанию использовалась интерполяция пользовательского ввода в сообщениях об ошибках валидации с помощью языка выражений Expression Language. Это позволяло злоумышленнику внедрить произвольный Java-код, передав специально сформированные данные. Сейчас разработчики отключили эту возможность по умолчанию, но компании, использующие старые версии Hibernate Validator в составе своего стека, могут оставаться уязвимыми. Стоит отметить, что ранее аналогичные проблемы уже фиксировались (CVE-2020-5245, CVE-2025-4428), что говорит о системном характере угрозы.

Еще одна заметная уязвимость обнаружена в Apache Commons Configuration версий 1.x (CVE-2025-46392). Она связана с неконтролируемым потреблением ресурсов при загрузке недоверенных конфигураций. Разработчики проекта не намерены исправлять эту проблему в ветке 1.x, поэтому пользователям рекомендуется перейти на версию 2.x, которая изолирована по пространству имен и может быть установлена параллельно. Аналогичная проблема с неконтролируемой рекурсией (CVE-2025-48924) выявлена в Apache Commons Lang: методы ClassUtils.getClass вызывают переполнение стека при обработке очень длинных входных строк, что приводит к аварийной остановке приложения. Исправление доступно в версии 3.18.0.

Критическая уязвимость затронула и библиотеку Apache Log4j Core (CVE-2025-68161). В версиях с 2.0-beta9 по 2.25.2 сокетный приемник не выполнял проверку имени хоста в сертификате TLS, даже если соответствующая опция была включена. Это делает возможной атаку типа "человек посередине": злоумышленник, имеющий возможность перехватить трафик и представить сертификат от доверенного удостоверяющего центра, может перехватывать или перенаправлять потоки журналов. Версия 2.25.3 исправляет этот дефект. Напомним, что библиотека Log4j печально известна после инцидента с Log4Shell в 2021 году, и данный случай подтверждает, что даже после масштабных исправлений в ней остаются недочеты, требующие внимания.

Наконец, уязвимость в библиотеке Bouncy Castle (CVE-2025-8916), которая широко используется для криптографических операций в Java, позволяет вызвать чрезмерное выделение ресурсов при обработке больших структур сертификатов. Затронуты версии BC Java с 1.44 по 1.78 и BCPKIX FIPS с 1.0.0 по 1.0.7 и с 2.0.0 по 2.0.7. Эксплуатация этой уязвимости может привести к отказу в обслуживании.

Важно понимать, что перечисленные уязвимости в библиотеках могут быть использованы не только для атак непосредственно на Oracle WebLogic Server, но и на любые Java-приложения, использующие эти компоненты. При этом сам сервер часто служит точкой входа. Злоумышленник может, например, сначала получить доступ к WebLogic через одну из его уязвимостей веб-служб, а затем эксплуатировать дефект Hibernate Validator для выполнения кода в контексте уже аутентифицированной сессии.

Таким образом, апрельское обновление Oracle закрывает не одну, а сразу несколько серьезных проблем, каждая из которых способна привести к финансовому ущербу, утечке конфиденциальных данных или нарушению работы бизнес-критичных систем. Специалистам по безопасности рекомендуется в кратчайшие сроки установить патчи для всех версий WebLogic Server, а также обратить внимание на версии сторонних библиотек, используемых в инфраструктуре. Особенно это касается организаций, которые до сих пор применяют Apache Commons Configuration 1.x, старые версии Hibernate Validator или Log4j 2.x ниже 2.25.3. Обновление этих компонентов должно производиться с учетом возможной несовместимости, однако риски, связанные с эксплуатацией найденных уязвимостей, перевешивают временные неудобства миграции.

Детали уязвимостей

Ссылки