Auf den Punkt: CISA warnt vor aktiver Ausnutzung von CVE-2024-21182 im Oracle WebLogic Server mit niedriger Angriffskomplexität und Fokus auf Datenleck; Bundesbehörden müssen bis 4. Juni 2026 patchen.
Die US-Sicherheitsbehörde CISA hat die Schwachstelle CVE-2024-21182 in Oracle WebLogic Server am 1. Juni 2026 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen, nachdem aktive Angriffe im Internet und in Unternehmensnetzwerken nachgewiesen wurden. Für Bundesbehörden läuft eine verbindliche Frist bis 4. Juni 2026 zur vollständigen Behebung.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle CVE-2024-21182 im Oracle WebLogic Server offiziell als aktiv ausgenutztes Risiko klassifiziert. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.1.0.0 der Kernkomponente (Core) des Anwendungsservers. Der Angriffsvektor nutzt das proprietäre T3-Protokoll und das Internet Inter-ORB Protocol (IIOP) aus, die standardmäßig für die Kommunikation zwischen WebLogic-Komponenten verwendet werden.
Die Schwachstelle ermöglicht unbefugten Zugriff ohne vorherige Authentifizierung, erweiterte Benutzerrechte oder Endbenutzer-Interaktion. Die Komplexität des Angriffs ist niedrig, weshalb öffentlich erreichbare Instanzen – insbesondere auf dem Standardport 7001 – für Angreifer ein leichtes Ziel darstellen. Das National Institute of Standards and Technology (NIST) bewertet die Sicherheitslücke mit einem CVSS-Wert von 7,5 (hoch).
Die primäre Gefahr liegt nicht in Remote Code Execution, sondern im Datenabfluss: Angreifer können durch Umgehung der Zugriffskontrollen in Datenbankstrukturen eindringen, Konfigurationsdateien auslesen, Anmeldedaten kopieren und geschäftskritische Informationen exfiltrieren. CISA warnt explizit vor unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle dem Oracle WebLogic Server zugänglichen Daten.
Der zeitliche Abstand zwischen der ursprünglichen Verfügbarkeit des Sicherheitsupdates und dem aktuellen Angriffszeitpunkt weist auf eine typische Ausnutzungsmuster hin: Organisationen, die Patches verzögert einspielen, bleiben langfristig exponiert. Für Bundesbehörden in den USA gilt eine verbindliche Frist bis 4. Juni 2026. Private Unternehmen werden dringend aufgefordert, ihre Systeme unverzüglich auf diese Lücke hin zu überprüfen und Patches einzuspielen.
Quelle: www.it-daily.net · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.