CVE-2025-59528

Oracle WebLogic Server — CVE-2025-59528 : Remote Code Execution (RCE)

Résumé :
CVE-2025-59528 est une vulnérabilité critique affectant Oracle Fusion Middleware WebLogic Server. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance via une faille dans la gestion des communications T3/IIOP. Le flux malveillant peut contourner les contrôles de sérialisation Java, conduisant à une exécution de code à distance (RCE) sur le serveur cible.

Impact

• Exécution de code arbitraire sur le serveur WebLogic sans authentification.
• Possibilité d’installer des backdoors, d’exfiltrer des données, ou de pivoter vers d’autres systèmes internes.
• Risque majeur pour les environnements exposés sur Internet.

Conditions d’exploitation

L’attaquant doit simplement pouvoir atteindre le port 7001 (ou celui configuré pour T3/IIOP). L’exploitation peut être réalisée à distance sans compte valide. Un script Proof-of-Concept a été publié sur Exploit-DB (référence 52440).

Vérification

# Vérifier si le port T3 est ouvert
sudo ss -tunlp | grep 7001

# Identifier la version WebLogic
cat /opt/weblogic/version.txt | grep "WebLogic"

# Si le service écoute sur T3, il est potentiellement vulnérable
                    

Mesures immédiates

• Limiter l’accès réseau : bloquer les ports 7001 et 7002 en entrée depuis Internet.
• Mettre à jour immédiatement : appliquer les Critical Patch Updates (CPU) d’Oracle.
• Désactiver les protocoles T3/IIOP si non nécessaires dans config.xml.
• Surveiller les logs : rechercher des connexions suspectes ou anomalies dans /opt/weblogic/logs/.

Recommandations long terme

• Ne jamais exposer les consoles d’administration WebLogic sur Internet.
• Activer un WAF ou une passerelle d’application pour filtrer le trafic T3/IIOP.
• Mettre en place un audit régulier des versions WebLogic déployées.
• Suivre les bulletins de sécurité Oracle (CPU trimestriels).

Outils de test et détection

# Exemple de test basique avec nmap
nmap -p 7001 --script weblogic-t3-info 

# Vérifier les flux IIOP actifs
tcpdump -i eth0 port 7001 -n -v
                    

Si compromission suspectée

- Déconnecter immédiatement le serveur du réseau.
- Examiner les fichiers access.log et AdminServer.log.
- Supprimer toute tâche suspecte planifiée (crontab -l, systemctl list-timers).
- Réinstaller le serveur à partir de sources sûres si compromission confirmée.

Note : Cette vulnérabilité présente un score CVSS critique (9.8/10) selon le NVD. Son exploitation est active sur Internet. Une veille renforcée est recommandée sur les environnements WebLogic exposés.