Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités critiques dans les produits Oracle

Score CVSS :
10
Date de publication :
22/1/2026
Date de dernière mise à jour :
22/1/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Oracle HTTP Server versions 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0

• Oracle WebLogic Server Proxy Plug-in versions 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0

• Oracle WebLogic Server Proxy Plug-in pour IIS version 12.2.1.4.0

• Oracle Agile Product Lifecycle Management for Process version 6.2.4

• Autres produits : voir bulletin éditeur en référence

Prérequis

• Accès réseau à un proxy Oracle

• Accès réseau à une instance Oracle Agile Product Lifecycle Management for Process

Risques

• Accès à des données critiques d’une application WebLogic

• Création, suppression ou modification de données critiques sur une application WebLogic

• Prise de contrôle de l’instance Oracle Agile Product Lifecycle Management for Process

Résumé

Oracle a publié un avis de sécurité sur des vulnérabilités affectant plusieurs de ses solutions, notamment dans les produits Oracle HTTP Server, WebLogic Server Proxy Plug-in et Oracle Agile Product Lifecycle Management for Process.

- CVE-2026-21962 : Une vulnérabilité dans les solutions de proxy d’Oracle (Weblogic Server Proxy Plug-in for Apache HTTP Server, Weblogic Server Proxy Plug-in for IIS) qui pourrait permettre à un attaquant distant non authentifié d’accéder à des données sensibles sur une application WebLogic sous-jacente. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.

Le niveau de criticité initial de cette vulnérabilité est de 10 (score CVSSv3.1).

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants ou d’exploit public n’a été remonté.

- CVE-2026-21969 : Une vulnérabilité dans le produit “Oracle Agile Product Lifecycle Management for Process” pourrait permettre à un attaquant distant non authentifié de prendre le contrôle de l’instance afin de, par exemple, modifier des données sensibles de recettes, fournisseurs et conformité. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.

Le niveau de criticité initial de cette vulnérabilité est de 9.8 (score CVSSv3.1).

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants ou d’exploit public n’a été remonté.

D’autres vulnérabilités ont été publiées dans le bulletin de l’éditeur mentionné en référence.

Étant donné le risque associé, nous préconisons de corriger ces vulnérabilités sans plus attendre.

Solutions

Remédiation :

Mettre à jour les produits :

• Oracle HTTP Server en versions supérieures à 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0

• Oracle WebLogic Server Proxy Plug-in en versions supérieures à 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0

• Oracle WebLogic Server Proxy Plug-in pour IIS en version supérieure à 12.2.1.4.0

• Oracle Agile Product Lifecycle Management for Process en version supérieure à 6.2.4

Concernant les autres produits, le détail est disponible dans les liens en références.

Mitigation :

• Restreindre l’accès via internet aux applications.

Références

https://www.oracle.com/security-alerts/cpujan2026.html

https://www.oracle.com/security-alerts/cpujan2026verbose.html

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité