CVE-2026-21962 : Oracle WebLogic Proxy RCE non-auth CVSS 10.0

Les faits

Le 18 janvier 2026, Oracle publiait en silence une mise à jour critique dans le cadre de son Critical Patch Update (CPU) trimestriel, corrigeant la vulnérabilité CVE-2026-21962 au sein d'Oracle Fusion Middleware. Quatre jours plus tard, le 22 janvier 2026, un code d'exploitation (PoC) était publié publiquement sur GitHub, et dès ce même jour des acteurs malveillants ont commencé à exploiter activement la faille. Cette chronologie — moins de 96 heures entre le patch et l'exploitation massive — illustre la brutalité du paysage des menaces en 2026.

CVE-2026-21962 affecte le composant Oracle HTTP Server et Oracle WebLogic Server Proxy Plug-in, utilisé à la fois avec Apache HTTP Server et Microsoft IIS comme reverse proxy devant les instances WebLogic. Le score CVSS 3.1 atteint le maximum absolu de 10.0, avec le vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N. La notation Changed (S:C) dans le scope indique que la compromission dépasse le composant vulnérable pour atteindre l'ensemble du backend WebLogic.

Techniquement, la vulnérabilité réside dans un défaut de validation des chemins dans le module de proxy. En envoyant des requêtes HTTP GET spécialement forgées avec des séquences de traversée de répertoires (path traversal), un attaquant non authentifié peut contourner tous les mécanismes d'authentification du proxy et transmettre des requêtes arbitraires directement aux endpoints internes WebLogic. Ces endpoints, supposés être protégés derrière le proxy, deviennent ainsi directement accessibles depuis Internet sans fournir la moindre credential.

L'impact décrit par Oracle dans l'advisory officiel (Oracle Security Alert Advisory CPU-JAN-2026) est particulièrement grave : accès non autorisé en lecture à l'intégralité des données accessibles via le proxy (confidentialité compromise — C:H) et capacité à créer, modifier ou supprimer des données critiques (intégrité compromise — I:H). Bien que le vecteur officiel note A:N (disponibilité non impactée), des recherches indépendantes menées par NetSPI et Arctic Wolf ont démontré que dans certaines configurations l'exploitation peut mener à une exécution de commandes système arbitraires sur le serveur WebLogic sous-jacent.

Les versions affectées sont précisément : Oracle HTTP Server / WebLogic Server Proxy Plug-in 12.2.1.4.0, 14.1.1.0.0 et 14.1.2.0.0. Ces versions couvrent une large fraction des déploiements Oracle Fusion Middleware en production dans des secteurs critiques : banque, assurance, administration publique, santé. L'Oracle WebLogic Server étant un middleware de référence pour les applications J2EE d'entreprise depuis plus de deux décennies, la surface d'attaque mondiale est considérable.

Concernant l'exploitation in-the-wild, les rapports d'Arctic Wolf, GBHackers et eSecurity Planet confirment que des acteurs malveillants ciblent activement cette vulnérabilité depuis le 22 janvier 2026, date de publication du PoC. Les campagnes d'exploitation observées visent principalement les instances exposées directement sur Internet (ports 80/443), dans des environnements non mis à jour depuis le CPU de janvier 2026. Des tentatives de post-exploitation incluent le déploiement de webshells JSP et des mouvements latéraux vers les bases de données Oracle connectées aux instances backend via JDBC.

Un dépôt PoC est disponible publiquement sur GitHub, ce qui abaisse considérablement la barrière d'entrée pour des acteurs peu sophistiqués. La simplicité de la requête d'exploitation — une simple requête HTTP GET avec un chemin traversal vers des endpoints protégés — permet à des attaquants sans compétences avancées de tenter l'exploitation. Des scans automatisés de masse ont été détectés dès les heures suivant la publication du PoC, selon les données de télémétrie rapportées par Talos Intelligence et Rapid7.

Il est important de ne pas confondre CVE-2026-21962 avec CVE-2024-21182, une vulnérabilité antérieure d'Oracle WebLogic Server Core également ajoutée au catalogue CISA KEV en juin 2026 avec une échéance fédérale fixée au 4 juin 2026. Les deux CVE constituent des vecteurs d'attaque distincts sur Oracle Fusion Middleware, et des instances non patchées peuvent être vulnérables aux deux simultanément.

Impact et exposition

Toute organisation hébergeant Oracle HTTP Server ou WebLogic Server Proxy Plug-in dans les versions 12.2.1.4.0, 14.1.1.0.0 ou 14.1.2.0.0, avec le composant proxy exposé sur un réseau — en particulier Internet — est directement exposée. La condition préalable d'exploitation est minimale : seul un accès réseau HTTP/HTTPS au port du proxy est nécessaire. Aucun compte, aucune session préalable, aucune interaction utilisateur n'est requise.

Dans un scénario d'exploitation typique, l'attaquant peut accéder à des applications métier sensibles (portails RH, CRM, ERP sur Oracle), exfiltrer des données confidentielles, injecter des webshells pour établir une persistance à long terme, puis pivoter vers les bases de données Oracle Database connectées. Le scope Changed du vecteur CVSS confirme que la compromission peut s'étendre bien au-delà du composant proxy pour toucher l'ensemble de l'infrastructure Oracle Fusion Middleware en aval.

Les secteurs les plus exposés sont ceux ayant massivement adopté Oracle Fusion Middleware : secteur financier, administrations publiques françaises et européennes utilisant des ERP Oracle, grandes entreprises industrielles avec des instances Oracle E-Business Suite ou PeopleSoft. Selon des estimations de chercheurs en sécurité, plusieurs milliers d'instances Oracle HTTP Server présentant le module proxy vulnérable seraient accessibles directement sur Internet, dont plusieurs centaines en France.

La menace est amplifiée dans le contexte de l'adoption croissante de l'intelligence artificielle en entreprise : les pipelines RAG (Retrieval-Augmented Generation) utilisant Oracle comme data store peuvent être compromis via cette vulnérabilité, donnant aux attaquants accès aux bases de données vectorielles et aux corpus de données des modèles IA.

Recommandations immédiates

• Appliquer immédiatement le patch du Oracle Critical Patch Update de janvier 2026 (advisory : Oracle Security Alert Advisory CPU-JAN-2026) via My Oracle Support
• Si le patch ne peut être appliqué immédiatement : filtrer via WAF les requêtes contenant des séquences de traversée de répertoires (%2F, %5C, ../) vers le proxy Oracle
• Auditer les logs Apache/IIS pour détecter des requêtes GET anormales vers des endpoints internes WebLogic (/console, /wls-wsat, /async, /bea_wls_management_internal)
• Rechercher des fichiers .jsp créés après le 22 janvier 2026 sans processus de déploiement documenté comme indicateurs potentiels de webshells
• Corriger également CVE-2024-21182 (Oracle WebLogic Server Core) — délai CISA KEV : 4 juin 2026
• Restreindre l'exposition des instances Oracle HTTP Server sur Internet public aux seules IP autorisées