Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción.
CVE-2026-21962 describe un fallo en la forma en que Oracle HTTP Server y el componente WebLogic Server Proxy Plug-in procesan solicitudes HTTP. Un actor remoto no autenticado puede enviar solicitudes manipuladas que permitan comprometer datos accesibles a través del proxy. Debido al “scope change” del vector, el impacto puede extenderse a otros productos de Oracle Fusion Middleware que dependen de estas rutas de proxiado, con resultados posibles de creación, modificación o eliminación no autorizada de datos accesibles por los componentes vulnerables.
Recursos afectados
Productos y versiones afectados (según Oracle/NVD y fuentes técnicas):
- Oracle HTTP Server: versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0.
- Oracle WebLogic Server Proxy Plug-in (Apache): versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0.
- WebLogic Server Proxy Plug-in (IIS): versión 12.2.1.4.0 solamente.
- Corrección: La lista de la alerta original se ajustó para clarificar que el plug-in de IIS está confirmado afectado sólo en 12.2.1.4.0 según registros oficiales de NVD.
Versiones corregidas.
Oracle ha publicado parches que corrigen esta vulnerabilidad como parte del Critical Patch Update (CPU) de enero 2026.
Los parches aplicables se encuentran en las rutas de actualización/cumulative patch específicas para cada versión afectada.
Se recomienda aplicar la actualización oficial más reciente para cada producto/version.
Solución | Mitigación.
Solución. Aplicar inmediatamente los parches oficiales correspondientes incluidos en el Oracle CPU de enero 2026 para las versiones afectadas de Oracle HTTP Server y WebLogic Proxy Plug-in.
Mitigación temporal. Si no puede parchearse de inmediato:
- Restringir acceso de red al puerto/servicio HTTP a través de firewalls y ACLs (solo IPs de confianza).
- Aplicar reglas en WAF para bloquear patrones malformados e intentos de explotación dirigidos al proxy.
- Deshabilitar temporalmente el plug-in o ponerlo detrás de un proxy adicional con inspección de tráfico (si la topología lo permite).
- Monitorear logs y alertas SOC/IR de tráfico y errores HTTP.
Indicadores de compromiso
Señales técnicas a considerar en sistemas afectados:
- Entradas anómalas en logs HTTP con solicitudes malformadas, cargas anómalas o secuencias de codificación sospechosas.
- Errores recurrentes 500/502/504 coincidentes con tráfico externo inusual.
- Cambios inesperados en archivos webroot o /tmp con nombres inusuales (archivos ejecutables/libres).
- Procesos nuevos bajo el usuario de servidor web o conexiones salientes inusuales (señal de beaconing/exfiltración).
Posibles señales de explotación activa
- Aparición de webshells o cargas no autorizadas en directorios públicos o temporales.
- Cuentas administrativas alteradas o nuevas credenciales con privilegios innecesarios.
- Tráfico HTTP saliente a hosts sospechosos tras peticiones inusuales entrantes.
- Cronjobs desconocidos o binarios extraños persistentes después de reinicios.
Recomendaciones.
Entre las recomendaciones obligatorias se encuentran:
- Aplicar el parche oficial del CPU de enero 2026 con prioridad máxima.
- Aislar temporalmente dispositivos sospechosos si se detecta actividad anómala.
- Revisar y rotar credenciales administrativas del entorno afectado.
- Incluir este CVE en el plan de gestión de riesgos y en monitoreo continuo.
- Auditar integrity checks y tiempos de respuesta de sistemas post-parche.
Se recomienda revisar los siguientes registros y artefactos:
- Access logs de Oracle HTTP Server | Apache (buscar peticiones con patrones sospechosos).
- Error logs (error_log y logs relacionados con proxy).
- Logs del plug-in WebLogic y logs de integración entre HTTP Server | WebLogic.
- Syslog | auth logs (eventos inesperados de sudo, cambios de usuario).
- Network flow | proxy logs para detectar conexiones inusuales.
- Integridad de ficheros críticos comparada con snapshots/backups conocidos.
Referencias