O Diário de Analistas
Vol. 2  |  N. 4  |  Pp. 104–106  |  2026  |  ISSN xxxx-xxxx

Alerta: Vulnerabilidade de de Autenticação no Oracle WebLogic sob Ataque Ativo (CVE-2026-21962)

Publicado por: Adriano Cansian.
Data de publicação: 28 de abril de 2026.

Estamos cientes de ataques em larga escala explorando uma vulnerabilidade de segurança crítica que afeta o ecossistema do Oracle WebLogic Server, catalogada como CVE-2026-21962 [1], e que está sendo explorada ativamente. Ela atinge, especificamente, os componentes de proxy que fazem a ponte entre servidores web (como Apache e IIS) e o backend do Oracle WebLogic.

Apesar de um patch de correção estar disponível desde janeiro, uma nova PoC pública de ataque automatizado foi tornada pública  nas últimas 48 horas

Criticidade e Expectativa de Exploração

Relatórios de inteligência de ameaças já registraram centenas de milhares de tentativas de ataque globalmente, com foco em bypass de autenticação e RCE (Execução Remota de Código). Ela recebeu a pontuação máxima de gravidade, CVSS 10.0 [1], o que indica um risco extremo para organizações que utilizam essas tecnologias.

Os dados do EPSS (Exploit Prediction Scoring System) refletem uma ameaça em rápida evolução devido à sua gravidade crítica e à exploração ativa observada desde o seu lançamento em janeiro de 2026. Até o momento, os dados consolidados [2] apontam para:

  • EPSS Score: 0.9674 (ou 96,74%)

  • Percentil: 99.8º

Esses dados indicam que há uma probabilidade altíssima (quase 97%) de que esta vulnerabilidade, caso existente no seu sistema.  seja explorada em ataques de larga escala nos próximos 30 dias.  Estar no percentil 99.8 significa que ela é mais perigosa e tem maior atividade de exploração do que 99,8% de todas as outras CVEs já registradas até o momento.

Detalhes da Vulnerabilidade

A vulnerabilidade permite, principalmente, 2 situações críticas:

  1. Bypass de Autenticação: A vulnerabilidade permite que o atacante manipule o cabeçalho da requisição HTTP (como o wl-proxy-client-ip). O sistema de proxy se confunde e considera que a conexão vem de uma fonte confiável ou interna, liberando o acesso a áreas administrativas (como o /console) sem pedir senha.
  2. RCE – Execução Remota de Código: Uma vez que o invasor burlou a autenticação, ele envia comandos que o servidor executa como se fossem ordens legítimas do sistema. Isso permite, dentre outros: instalar um Web Shell, extrair bancos de dados, ou instalar um ransomware para sequestro de dados.

O CWE (Common Weakness Enumeration) classifica o “erro de design” que permitiu a existência da CVE. No caso da CVE-2026-21962, o problema é classificado principalmente como:

  • CWE-284: Improper Access Control (Controle de Acesso Impróprio)

    • Definição: O software não restringe (ou restringe incorretamente) o acesso a recursos de uma entidade não autorizada. No WebLogic, o plugin de proxy não valida corretamente quem tem permissão para acessar os endpoints do backend.

Ela também pode ser associada ao:

  • CWE-444: Inconsistent Interpretation of HTTP Requests (HTTP Request Smuggling/Splitting), devido à forma como o Proxy e o WebLogic interpretam de forma diferente os cabeçalhos da requisição, permitindo o “desvio” de segurança.

Correção

Recomendação Prioritária: se o seu sistema ainda não foi corrigido com o patch da Oracle de Janeiro de 2026 [3], ele é um alvo quase certo de tentativas de invasão automáticas no curto prazo. O isolamento imediato de portas de administração e proxy é altamente recomendável como mitigação.

O patch não é distribuído como um arquivo isolado em sites de terceiros; ele faz parte do pacote trimestral de atualizações da Oracle.

  1. Portal Oficial: Acesse o Oracle Critical Patch Update (CPU) Advisory – January 2026.

  2. Download: Os clientes devem baixar os patches através do portal My Oracle Support (MOS).

    • Procure pelos patches específicos para Oracle HTTP Server ou WebLogic Server Proxy Plug-in nas versões 12.2.1.4.0, 14.1.1.0.0 ou 14.1.2.0.0.

  3. Procedimento: Siga as instruções do “Patch Set Update” (PSU) específico para o seu sistema operacional (Linux/Windows).

Referências

[1] NVD (NIST) Detalhes da CVE-2026-21962 – Base de dados oficial do governo dos EUA com a pontuação CVSS e métricas técnicas.

[2] FIRST (EPSS)EPSS Score Dashboard – Para acompanhar a probabilidade real de exploração da falha em tempo real.

[3] Oracle Security – Main Security Alerts Page – Central de todos os avisos de segurança da Oracle.

 

Tags: , , , , .

Categorias: Alerta, CVE, Oracle, Patches, PoC, Vulnerabilidade.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.