CVE-2018-2628

Una falla crítica en Oracle WebLogic Server permite que atacantes tomen el control total del servidor sin necesidad de autenticarse. La vulnerabilidad existe en cómo el servidor maneja ciertas comunicaciones de red, haciéndola extremadamente peligrosa y fácil de explotar.

Vulnerabilidad de deserialización insegura (CWE-502) en el manejo del protocolo T3 de WebLogic permite ejecución remota de código sin autenticación con acceso a la red. Las versiones afectadas (10.3.6.0, 12.1.3.0, 12.2.1.2 y 12.2.1.3) carecen de validación adecuada de objetos serializados, permitiendo que atacantes creen cargas útiles maliciosas que comprometan completamente el sistema sin autenticación ni interacción del usuario.