Корпорация Oracle 16 июня 2026 года выпустила обновление безопасности для WebLogic Server, входящего в состав Oracle Fusion Middleware. Патчи закрывают 13 уязвимостей, обнаруженных в компонентах Console и Core. Две из них получили максимальную оценку по шкале CVSS 3.1 - 10,0, что указывает на возможность полного удалённого захвата сервера без каких-либо учётных данных.
Детали уязвимостей
Наибольшую опасность представляют четыре уязвимости, оценённые как критические. CVE-2026-35292 и CVE-2026-35301 имеют рейтинг 10,0. Обе находятся в компоненте Console и эксплуатируются через HTTP без аутентификации. При этом атака может затронуть не только сам WebLogic Server, но и другие продукты Oracle, развёрнутые в той же сети (scope change). Первая уязвимость актуальна для версий 14.1.2.0.0 и 15.1.1.0.0, вторая - для 12.2.1.4.0 и 14.1.1.0.0. Ещё одна критическая проблема - CVE-2026-35263 с оценкой 9,9. Она затрагивает компонент Core версий 14.1.2.0.0 и 15.1.1.0.0, требует лишь низких привилегий и также ведёт к полному захвату сервера с расширением воздействия на смежные системы. CVE-2026-35300 (9,8) уникальна тем, что для её эксплуатации используется протокол TCP, а не HTTP, и аутентификация не нужна - потенциальная атака может быть запущена из любой точки сети на версии 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 и 15.1.1.0.0.
Помимо перечисленных, ещё одна критическая уязвимость - CVE-2026-35298 (9,1). Она затрагивает все четыре поддерживаемые версии, но требует высоких привилегий, что несколько снижает вероятность эксплуатации в реальных условиях, однако в случае атаки позволяет полностью захватить сервер. Все критические проблемы могут привести к нарушению конфиденциальности, целостности и доступности данных.
Остальные восемь уязвимостей имеют высокий рейтинг - от 6,6 до 8,8. Большинство из них сконцентрированы в компоненте Console. Например, CVE-2026-35258 (8,7) позволяет атакующему с низкими привилегиями при взаимодействии пользователя несанкционированно изменять или читать критически важные данные. CVE-2026-35259 (8,8) не требует аутентификации, но для успешной атаки необходимо, чтобы жертва совершила определённое действие. Уязвимости CVE-2026-35299, CVE-2026-35303 и CVE-2026-35311 (все с рейтингом 8,8) также приводят к захвату сервера, но требуют аутентификации или низких привилегий. CVE-2026-35302 (8,3) сложнее в эксплуатации и требует взаимодействия пользователя. CVE-2026-35291 (6,6) - одна из наименее опасных, поскольку предполагает высокие привилегии и сложные условия атаки. Отдельно стоит CVE-2026-46848 (7,9), которая эксплуатируется только при локальном доступе к системе и требует участия другого пользователя. Она позволяет нарушить конфиденциальность и целостность данных, но не затрагивает доступность.
WebLogic Server остаётся распространённой платформой для развёртывания корпоративных Java-приложений. Учитывая, что часть уязвимостей не требует аутентификации, атаки могут быть запущены из интернета. В случае успешной компрометации злоумышленник получает полный контроль над сервером, что открывает доступ к базам данных, другим системам и критической информации. Подобные проблемы безопасности особенно актуальны для крупных организаций, где WebLogic используется как центральный элемент инфраструктуры.
В бюллетене безопасности Oracle WebLogic cspujun2026 от 16 июня 2026 года компания рекомендует установить соответствующие патчи для каждой затронутой версии. Администраторам следует как можно скорее обновить серверы до исправленных сборок. В качестве временных мер можно ограничить сетевой доступ к консоли управления (Console) и компонентам Core, используя межсетевые экраны и сегментацию сети. Также рекомендуется минимизировать количество учётных записей с повышенными привилегиями.
Выпуск столь масштабного набора патчей в середине года подтверждает, что даже зрелые продукты, такие как WebLogic Server, продолжают содержать серьёзные уязвимости. Оперативное применение обновлений и постоянный мониторинг бюллетеней безопасности остаются основными методами защиты от подобных угроз.
Ссылки
-
- https://www.oracle.com/security-alerts/cspujun2026.html
- https://www.cve.org/CVERecord?id=CVE-2026-35258
- https://www.cve.org/CVERecord?id=CVE-2026-35259
- https://www.cve.org/CVERecord?id=CVE-2026-35263
- https://www.cve.org/CVERecord?id=CVE-2026-35291
- https://www.cve.org/CVERecord?id=CVE-2026-35292
- https://www.cve.org/CVERecord?id=CVE-2026-35298
- https://www.cve.org/CVERecord?id=CVE-2026-35299
- https://www.cve.org/CVERecord?id=CVE-2026-35300
- https://www.cve.org/CVERecord?id=CVE-2026-35301
- https://www.cve.org/CVERecord?id=CVE-2026-35302
- https://www.cve.org/CVERecord?id=CVE-2026-35303
- https://www.cve.org/CVERecord?id=CVE-2026-35311
- https://www.cve.org/CVERecord?id=CVE-2026-46848
