A agência americana de cibersegurança CISA emitiu um alerta de emergência no dia 1 de junho de 2026 sobre uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182, que foi corrigida há quase dois anos mas nunca chegou a ser aplicada em milhares de servidores expostos na internet. O Shodan, plataforma de inteligência de redes, contabilizou 1.592 servidores Oracle WebLogic diretamente vulneráveis e acessíveis online, distribuídos por organizações governamentais, instituições financeiras, operadoras de telecomunicações e grandes empresas em todo o mundo. A situação torna-se ainda mais grave quando se considera que, no mesmo período, a Oracle divulgou dois novos CVEs com pontuação máxima CVSS 10.0, tornando junho de 2026 o mês mais crítico da história recente para administradores WebLogic.
O que é o Oracle WebLogic Server e Por Que Tantas Empresas Dependem Dele
O Oracle WebLogic Server é um dos servidores de aplicações Java mais utilizados a nível empresarial no mundo. Desenvolvido originalmente pela BEA Systems nos anos 1990 e adquirido pela Oracle em 2008, o WebLogic é o pilar tecnológico de plataformas bancárias, portais governamentais, sistemas de saúde e infraestruturas de telecomunicações em mais de 130 países. A sua robustez para lidar com transações de alta disponibilidade, suporte a Java EE e integração com sistemas Oracle Fusion Middleware tornaram-no praticamente insubstituível em setores onde a substituição de plataformas legadas levaria anos e custaria dezenas de milhões de euros.
Precisamente por ser tão ubíquo em infraestruturas críticas, o WebLogic tornou-se também um alvo preferencial para grupos de cibercriminosos e agentes de ameaças patrocinados por estados. A combinação de exposição pública, versões obsoletas em produção e ciclos de atualização lentos em ambientes corporativos cria uma superfície de ataque persistente. Vulnerabilidades históricas em WebLogic foram utilizadas para implantar botnets, minerar criptomoedas e distribuir ransomware, uma tendência que não mostra sinais de abrandamento em 2026.
CVE-2024-21182: A Vulnerabilidade de Dois Anos que Voltou a Assombrar Administradores
A CVE-2024-21182 foi divulgada publicamente pela Oracle na sua Critical Patch Update de julho de 2024. Com uma pontuação CVSS 3.1 de 7.5, a falha reside no componente Core do Oracle WebLogic Server e afeta especificamente as versões 12.2.1.4.0 e 14.1.1.0.0. O aspeto mais alarmante é a sua natureza: trata-se de uma vulnerabilidade explorável remotamente sem qualquer autenticação, através dos protocolos de rede T3 e IIOP, comuns em ambientes empresariais Java.
Segundo a própria Oracle, a falha permite a um atacante não autenticado com acesso de rede via T3 ou IIOP comprometer o servidor WebLogic de forma eficaz. Os ataques bem-sucedidos podem resultar no “acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle WebLogic Server”, conforme descrito na entrada do catálogo KEV da CISA. Em linguagem prática, qualquer atacante que consiga chegar ao serviço exposto pode exfiltrar a totalidade da base de dados de negócio, incluindo credenciais, dados de clientes e registos financeiros.
Múltiplos exploits de prova de conceito (PoC) para a CVE-2024-21182 tornaram-se publicamente disponíveis nos meses seguintes à divulgação, mas durante quase dois anos as equipas de segurança não registaram uma exploração massiva em ambiente real. Isso mudou em junho de 2026, quando a CISA confirmou que a vulnerabilidade estava a ser ativamente explorada por atores de ameaças não identificados publicamente.
CISA Emite Alerta Urgente e Adiciona CVE ao Catálogo KEV em 1 de Junho de 2026
Na segunda-feira, dia 1 de junho de 2026, a Cybersecurity and Infrastructure Security Agency dos Estados Unidos adicionou formalmente a CVE-2024-21182 ao seu Known Exploited Vulnerabilities (KEV) Catalog. O catálogo KEV é uma lista reservada exclusivamente para vulnerabilidades com confirmação de exploração em ataques reais, o que distingue esta ação de alertas meramente preventivos. A CISA publicou na entrada KEV a seguinte descrição: “O Oracle WebLogic contém uma vulnerabilidade não especificada que pode permitir a um atacante não autenticado com acesso de rede via T3, IIOP comprometer o Oracle WebLogic Server.”
A SecurityWeek foi uma das primeiras publicações a reportar o alerta, com o jornalista Eduard Kovacs a sublinhar que “a CISA está a alertar organizações de que uma vulnerabilidade do Oracle WebLogic, corrigida há quase dois anos, está a ser explorada na natureza.” O The Hacker News confirmou de imediato, notando que “vários exploits de prova de conceito (PoC) para a CVE-2024-21182 tornaram-se disponíveis publicamente desde que a existência da vulnerabilidade se tornou conhecida, mas a CISA parece ser a primeira entidade a alertar sobre a sua exploração ativa.”
A gravidade do alerta deve-se ao contexto mais amplo: segundo o relatório IBM X-Force de 2026, 56% das quase 40.000 vulnerabilidades rastreadas em 2025 podiam ser exploradas sem qualquer forma de autenticação. A CVE-2024-21182 insere-se precisamente nesta categoria de risco máximo: sem password, sem token, sem qualquer credencial. Um endereço IP acessível ao exterior é suficiente para comprometer o servidor por completo.
Prazo de 72 Horas: Agências Federais dos EUA sob Pressão Imediata
Ao abrigo da Binding Operational Directive 22-01 (BOD 22-01), todas as agências civis federais do poder executivo dos Estados Unidos receberam instrução para aplicar as correções necessárias até 4 de junho de 2026, apenas 72 horas após a adição ao catálogo KEV. A diretiva obrigatória abrange o Departamento de Estado, o Departamento de Saúde e Serviços Humanos, a Administração de Segurança Social e dezenas de outras entidades governamentais que utilizam Oracle WebLogic em infraestruturas críticas.
O prazo de 72 horas é extraordinariamente curto para ambientes de produção governamentais, onde os ciclos de testes e aprovações de mudanças tipicamente levam semanas. A pressão exercida pela BOD 22-01 reflete a avaliação da CISA de que o risco de exploração em curso justificava uma ação imediata, mesmo com o risco operacional associado a atualizações aceleradas. Organizações fora do âmbito federal, incluindo em Portugal e restante União Europeia, não têm a mesma obrigação legal, mas o Centro Nacional de Cibersegurança (CNCS) português considera os alertas KEV da CISA como referência prioritária para análise de risco em infraestruturas críticas nacionais.
1.592 Servidores Oracle WebLogic Vulneráveis Expostos na Internet Global
Os dados do Shodan, a plataforma que indexa dispositivos e serviços expostos na internet, são perturbadores. Em junho de 2026, a plataforma identificou 1.592 servidores Oracle WebLogic vulneráveis à CVE-2024-21182 diretamente acessíveis online. Destes, 961 executam a versão 12.2.1.4.0 e 631 executam a versão 14.1.1.0.0, as duas versões afetadas pela vulnerabilidade e para as quais os patches existem desde julho de 2024. O BleepingComputer confirmou estes números com base em dados Shodan obtidos em junho de 2026.
A distribuição geográfica destes servidores abrange os principais centros tecnológicos mundiais, com concentrações significativas na América do Norte, Europa Ocidental e Ásia-Pacífico. Em Portugal e Espanha, onde o Oracle WebLogic tem forte presença em bancos, seguradoras e organismos públicos, a exposição é considerada relevante pelas equipas de resposta a incidentes regionais. O facto de estes 1.592 sistemas continuarem expostos dois anos após a disponibilidade do patch é o indicador mais claro de uma falha sistémica nos processos de gestão de vulnerabilidades corporativos.
A causa raiz desta situação é conhecida: ciclos de atualização demasiado conservadores em ambientes de produção crítica, onde qualquer downtime tem impacto financeiro direto; falta de visibilidade completa sobre todas as instâncias WebLogic instaladas em redes corporativas; e processos de gestão de patches que prioritizam estabilidade operacional em detrimento de segurança proativa. O resultado é previsível e, como a história do WebLogic demonstra repetidamente, invariavelmente explorado.
| Versão WebLogic | Servidores Expostos (Shodan, junho 2026) | CVEs Críticos Ativos | Patch Disponível Desde | Estado |
|---|---|---|---|---|
| 12.2.1.4.0 | 961 | CVE-2024-21182, CVE-2026-21962, CVE-2026-34292 | Julho 2024 / Janeiro 2026 / Abril 2026 | Crítico |
| 14.1.1.0.0 | 631 | CVE-2024-21182, CVE-2026-21962, CVE-2026-34292, CVE-2026-34305 | Julho 2024 / Janeiro 2026 / Abril 2026 | Crítico |
| 14.1.2.0.0 | Não divulgado publicamente | CVE-2026-21962, CVE-2026-35292, CVE-2026-35258 | Janeiro 2026 / Junho 2026 | Alto Risco |
| 15.1.1.0.0 | Não divulgado publicamente | CVE-2026-35292, CVE-2026-35258 | Junho 2026 | Alto Risco |
Como Funciona o Ataque: Protocolos T3 e IIOP como Porta de Entrada Sem Autenticação
Para compreender a gravidade da CVE-2024-21182, é necessário perceber como os protocolos T3 e IIOP funcionam no ecossistema WebLogic. O T3 é um protocolo proprietário da Oracle, utilizado para comunicação entre componentes Java EE em ambientes WebLogic, tipicamente na porta 7001. O IIOP (Internet Inter-ORB Protocol) é o protocolo padrão CORBA para comunicação distribuída entre objetos Java. Ambos são protocolos de rede legítimos e fundamentais para o funcionamento de aplicações empresariais, o que torna a sua desativação operacionalmente inviável na maioria dos contextos.
A vulnerabilidade CVE-2024-21182 explora uma falha não especificada publicamente no componente Core do WebLogic, acessível através destes dois protocolos. A Oracle classificou a complexidade do ataque como baixa e não requer qualquer interação do utilizador, o que significa que pode ser automatizado e executado em larga escala por qualquer script de reconhecimento automatizado. Um atacante com acesso à porta exposta pode enviar pedidos especialmente construídos que exploram a falha e obtêm acesso a dados sensíveis sem necessidade de qualquer credencial válida.
A diferença crucial para administradores de sistema está na superfície de ataque: ao contrário de vulnerabilidades que requerem acesso a uma interface de gestão separada, a CVE-2024-21182 pode ser explorada através das mesmas portas utilizadas por aplicações legítimas. Isso torna a deteção baseada exclusivamente em filtragem de portas ineficaz. Soluções de Web Application Firewall (WAF) e sistemas de deteção de intrusão (IDS) com assinaturas específicas para padrões T3/IIOP anómalos são os controlos defensivos mais eficazes em ambientes onde o patch imediato não é viável.
CVE-2026-21962: O CVSS 10.0 Explorado no Mesmo Dia em que o Exploit Público Apareceu
Paralelamente à CVE-2024-21182, a comunidade de segurança tem acompanhado de perto a CVE-2026-21962, uma vulnerabilidade de gravidade máxima com pontuação CVSS 10.0 divulgada pela Oracle na sua Critical Patch Update de janeiro de 2026. Ao contrário da CVE-2024-21182, esta afeta o Oracle HTTP Server e o WebLogic Server Proxy Plug-in, mas o seu impacto potencial é ainda mais abrangente: permite execução remota de código (RCE) não autenticada via HTTP, sobre as versões 12.2.1.4.0, 14.1.1.0.0 e 14.1.2.0.0.
A CloudSEK, empresa de inteligência de ameaças, publicou uma análise detalhada baseada em dados de honeypots que capturou atividade maliciosa entre 22 de janeiro e 3 de fevereiro de 2026. Segundo a investigação, “a CVE-2026-21962 é uma vulnerabilidade crítica que afeta o Oracle WebLogic Server Console, permitindo a execução remota de código não autenticada. A vulnerabilidade, com pontuação CVSS máxima de 10.0, resulta de uma falha de validação de input imprópria nos componentes web da consola, permitindo que um pedido HTTP especialmente construído execute comandos arbitrários no sistema operativo do servidor vulnerável.”
A Infosecurity Magazine, reportando sobre a mesma investigação de honeypots, confirmou que “uma vulnerabilidade crítica do Oracle WebLogic foi transformada em arma quase imediatamente após o código de exploit público ter ficado disponível”, com os atacantes a iniciarem a exploração no mesmo dia. A exploração foi automatizada e massiva, o que significa que qualquer servidor WebLogic exposto sem o patch de janeiro de 2026 aplicado ficou sob ataque ativo em questão de horas após a publicação do exploit. Este padrão de day-one exploitation é cada vez mais comum em vulnerabilidades WebLogic de alta gravidade.
Oracle CPU de Junho de 2026: Mais Dois CVEs CVSS 10.0 para WebLogic
Em 17 de junho de 2026, a Oracle publicou a sua Critical Security Patch Update trimestral de junho, introduzindo correções para múltiplas vulnerabilidades no WebLogic Server. Entre elas, destaca-se a CVE-2026-35292, com pontuação CVSS 10.0, que afeta o componente Console do WebLogic Server nas versões 14.1.2.0.0 e 15.1.1.0.0. A Oracle descreve a falha como “facilmente explorável” por um atacante não autenticado com acesso de rede via HTTPS, com impacto em confidencialidade, integridade e disponibilidade.
A mesma CPU de junho inclui a CVE-2026-35258, com pontuação CVSS de 8.7, que também afeta o componente Console do WebLogic Server nas versões 14.1.2.0.0 e 15.1.1.0.0. Esta requer um nível baixo de privilégios e interação humana, mas pode resultar na criação, eliminação ou modificação não autorizada de dados críticos. Em conjunto, o mês de junho de 2026 apresenta às organizações que utilizam Oracle WebLogic um cenário sem precedentes: múltiplas vulnerabilidades com pontuações CVSS entre 7.5 e 10.0, algumas já confirmadas em exploração ativa, outras com exploração iminente.
| CVE | CVSS | Autenticação | Protocolo | Impacto | Patch | Exploração Ativa |
|---|---|---|---|---|---|---|
| CVE-2024-21182 | 7.5 | Nenhuma | T3 / IIOP | Acesso total a dados | Julho 2024 | Sim (junho 2026) |
| CVE-2026-21962 | 10.0 | Nenhuma | HTTP | RCE completo | Janeiro 2026 | Sim (janeiro 2026) |
| CVE-2026-34292 | 9.8 | Alta (escalável) | HTTP | Takeover total | Abril 2026 | Não confirmada |
| CVE-2026-34305 | 7.5 | Nenhuma | HTTP | Acesso a dados | Abril 2026 | Não confirmada |
| CVE-2026-35292 | 10.0 | Nenhuma | HTTPS | RCE + impacto total | Junho 2026 | Não confirmada |
| CVE-2026-35258 | 8.7 | Baixa | HTTPS | Modificação de dados críticos | Junho 2026 | Não confirmada |
Quem Usa WebLogic e Por Que o Risco é Verdadeiramente Global
O Oracle WebLogic está instalado em dezenas de milhares de organizações globalmente. A plataforma é particularmente prevalente em bancos e seguradoras, que dependem da sua capacidade de processar milhões de transações diárias com alta disponibilidade; em governos e serviços públicos, onde é utilizado em portais de pagamento de impostos, sistemas de benefícios sociais e infraestruturas de saúde; e em operadoras de telecomunicações, que gerem sistemas de faturação e aprovisionamento de serviços sobre WebLogic. Em Portugal, o Oracle WebLogic está presente em múltiplas instituições do setor financeiro e em organismos públicos com sistemas de gestão construídos sobre Oracle Fusion Middleware.
O relatório DBIR 2026 da Verizon, que analisou milhares de incidentes de segurança em 2025 e 2026, concluiu que 31% das fugas de dados exploram vulnerabilidades conhecidas para as quais existe patch disponível. A CVE-2024-21182 é um exemplo paradigmático deste padrão: um patch disponível há dois anos, ignorado por 1.592 organizações cujos servidores permanecem expostos. O padrão repete-se com preocupante regularidade no ecossistema WebLogic.
A exposição não é necessariamente direta: nem todos os servidores WebLogic estão acessíveis diretamente da internet, mas a presença em redes corporativas com conectividade ao exterior cria vetores de ataque indiretos. Um atacante que comprometa um servidor WebLogic interno através de um movimento lateral a partir de outro sistema já comprometido pode utilizá-lo como ponto de apoio para aceder a sistemas mais sensíveis na mesma rede, incluindo bases de dados de clientes, sistemas de pagamento e infraestruturas de identidade. A extensão do risco vai muito além dos 1.592 servidores identificados pelo Shodan.
Histórico: Oracle WebLogic como Alvo Persistente de Grupos de Ataque desde 2017
A exploração de vulnerabilidades WebLogic não é novidade para a comunidade de segurança. A história recente documenta uma série de CVEs de alta gravidade que foram ativamente explorados com objetivos distintos. As vulnerabilidades CVE-2020-14882 e CVE-2020-14883 afetaram o Console do WebLogic Server e foram utilizadas em 2020 para implantação de botnets e mineração de criptomoedas em escala global. A CVE-2020-2551, que explorava o protocolo IIOP, serviu de vetor para ataques de execução remota de código que afetaram organizações governamentais na Ásia. A CVE-2017-10271, com mais de oito anos de existência à data da análise, continuou a aparecer na investigação de honeypot da CloudSEK de 2026, o que demonstra que alguns atacantes oportunistas continuam a explorar vulnerabilidades com anos de antiguidade contra servidores que nunca foram atualizados.
O padrão histórico é consistente: grupos de ataque monetizam vulnerabilidades WebLogic de três formas principais. A primeira é a implantação de cryptominers, utilizando os recursos computacionais dos servidores comprometidos para minerar Monero ou outras criptomoedas de privacidade. A segunda é a criação de botnets, recrutando servidores WebLogic para infraestruturas de ataque distribuído utilizadas em campanhas de DDoS ou distribuição de malware. A terceira e mais lucrativa é o acesso inicial para exfiltração de dados e ransomware, onde o servidor WebLogic serve de porta de entrada para o ambiente corporativo mais amplo, culminando na encriptação de dados críticos e exigência de resgate milionário.
Segundo o IBM X-Force, em 2025, mais de 300.000 credenciais de ferramentas de produtividade baseadas em IA foram encontradas à venda na dark web. Servidores WebLogic comprometidos são frequentemente utilizados para hospedar infraestruturas de comando e controlo (C2) que distribuem infostealers, alimentando este mercado negro de credenciais. A cadeia de ataque é eficiente: WebLogic como ponto de entrada inicial, movimento lateral para sistemas de maior valor, e monetização através de ransomware ou venda de dados.
Análise de Mercado: Impacto Financeiro e Regulatório para Organizações Europeias
O custo médio de uma violação de dados em 2025 atingiu os 4,88 milhões de dólares, segundo o relatório IBM Cost of a Data Breach. Para organizações que utilizam WebLogic em infraestruturas críticas, como bancos ou operadoras de telecomunicações, os números tendem a ser significativamente mais elevados devido ao volume de dados sensíveis geridos e às obrigações regulatórias. Na União Europeia, uma violação de dados pessoais resultante da exploração de uma vulnerabilidade conhecida e não corrigida pode resultar em coimas ao abrigo do RGPD que chegam a 4% da faturação anual global da organização.
O Cyber Resilience Act (CRA), aprovado pela União Europeia com prazo de conformidade plena em 11 de setembro de 2026, introduz novos requisitos de gestão de vulnerabilidades para produtos com elementos digitais. Organizações que utilizem software vulnerável em infraestruturas de produto, sem processos documentados de resposta a vulnerabilidades, expõem-se a coimas que podem atingir 15 milhões de euros ou 2,5% da faturação anual global. A inação face a um alerta CISA sobre uma vulnerabilidade WebLogic conhecida é precisamente o tipo de evidência que reguladores europeus podem utilizar para demonstrar negligência na gestão de riscos de cibersegurança.
Do ponto de vista competitivo, as alternativas ao Oracle WebLogic, como o IBM WebSphere, o Red Hat JBoss EAP e o Apache TomEE, têm capitalizado sobre as preocupações de segurança persistentes do WebLogic para atrair clientes em processo de modernização de infraestruturas. Contudo, a migração de plataformas Java EE é um processo complexo e caro, envolvendo meses ou anos de reescrita de código e testes. A maioria das organizações optará por manter o WebLogic e reforçar os processos de aplicação de patches, pelo menos no curto prazo.
O Que Fazer Agora: Resposta Imediata em 5 Passos para Administradores WebLogic
Perante a acumulação de vulnerabilidades críticas ativas em junho de 2026, as equipas de segurança com servidores Oracle WebLogic devem executar as seguintes ações com caráter de urgência:
Passo 1: Inventariar todas as instâncias WebLogic. Muitas organizações têm servidores WebLogic instalados em ambientes de desenvolvimento, teste e produção que não estão devidamente documentados. Ferramentas como o Nmap com o script oracle-weblogic-t3-info permitem identificar instâncias ativas na rede interna. O Shodan e o Censys permitem verificar se alguma instância está inadvertidamente exposta ao exterior.
Passo 2: Verificar a versão instalada e o estado de patches. Para cada instância identificada, confirmar a versão atual e verificar se os patches das CPUs de julho de 2024 (CVE-2024-21182), janeiro de 2026 (CVE-2026-21962) e junho de 2026 (CVE-2026-35292) foram aplicados. As atualizações estão disponíveis no My Oracle Support (MOS).
Passo 3: Restringir o acesso aos protocolos T3 e IIOP. Para instâncias que não podem ser imediatamente atualizadas, implementar controlos de acesso a nível de firewall que limitem quem pode contactar as portas T3 (7001/7002) do WebLogic. Listas de controlo de acesso baseadas em IP são uma mitigação temporária mas eficaz enquanto os patches são preparados e testados.
Passo 4: Monitorizar logs para sinais de exploração. Implementar alertas para pedidos anómalos às interfaces Console e Proxy Plug-in do WebLogic. Os ataques à CVE-2024-21182 geram padrões de tráfego T3/IIOP distintos que podem ser detetados por soluções SIEM devidamente configuradas. A CloudSEK publicou indicadores de compromisso (IoCs) específicos para a CVE-2026-21962 que podem ser importados para plataformas de deteção.
Passo 5: Aplicar patches em ambiente de teste antes de produção. A Oracle recomenda a aplicação do patch mais recente disponível para a versão em utilização. As CPUs da Oracle são cumulativas, pelo que o patch de junho de 2026 inclui todas as correções anteriores. Testar em ambiente de homologação antes de aplicar em produção reduz o risco operacional sem prolongar desnecessariamente a exposição.
5 Previsões para o Segundo Semestre de 2026 no Ecossistema WebLogic
Previsão 1: Exploração massiva da CVE-2026-35292 até setembro de 2026. O histórico da CVE-2026-21962 demonstra que vulnerabilidades WebLogic com CVSS 10.0 são exploradas automaticamente horas após a disponibilização de exploits públicos. Com a CVE-2026-35292 divulgada em junho de 2026, a disponibilização de exploits PoC é iminente e com ela chegará uma nova vaga de ataques sobre servidores WebLogic 14.1.2.0.0 e 15.1.1.0.0 não atualizados.
Previsão 2: Pelo menos um incidente público de grande escala envolvendo WebLogic antes de dezembro de 2026. Com 1.592 servidores confirmados como vulneráveis e protocolos de ataque automatizados disponíveis publicamente, a probabilidade de pelo menos um caso público de violação de dados em grande organização através de WebLogic é superior a 70% no segundo semestre de 2026. Setores governamentais e financeiros são os alvos mais prováveis.
Previsão 3: A CISA adicionará a CVE-2026-35292 ao catálogo KEV no terceiro trimestre de 2026. Seguindo o padrão estabelecido com a CVE-2024-21182 e outras vulnerabilidades WebLogic anteriores, é expectável que evidências de exploração ativa da CVE-2026-35292 levem à sua adição ao KEV nos próximos meses, com novo prazo obrigatório de patches para agências federais americanas.
Previsão 4: Aumento de 30% nas migrações de WebLogic para plataformas alternativas no horizonte de 12 meses. O acúmulo de vulnerabilidades críticas e a pressão regulatória do Cyber Resilience Act devem acelerar projetos de modernização, favorecendo arquiteturas de microsserviços com Quarkus, Micronaut e Spring Boot, que eliminam a dependência de servidores de aplicações monolíticos como o WebLogic.
Previsão 5: A Oracle introduzirá atualizações de segurança automáticas opcionais para WebLogic até ao final de 2026. A pressão de clientes empresariais e reguladores, combinada com a exposição negativa resultante de vulnerabilidades críticas persistentes, deve levar a Oracle a disponibilizar mecanismos de aplicação automática de patches de segurança para instalações on-premises do WebLogic, semelhantes aos já existentes no Oracle Cloud Infrastructure.
Cobertura Relacionada
- DBIR 2026: 31% das Fugas de Dados por Vulnerabilidades Conhecidas
- Ransomware Sem Encriptação: 44% das Falhas em 2026
- Extorsão de Dados: Resgate Médio de $1,5M por Incidente
- Novo Nordisk: FulcrumSec Rouba 1,3 TB e Exige $25M de Resgate
- Cyber Resilience Act: Coima de €15M e Prazo a 11 de Setembro de 2026
Fontes externas: BleepingComputer: CISA ordena patch WebLogic | The Hacker News: CVE-2024-21182 no catálogo KEV | SecurityWeek: WebLogic explorado na natureza | CloudSEK: Análise de honeypot WebLogic | Oracle Critical Patch Update Junho 2026 | Infosecurity Magazine: RCE crítico em WebLogic
Perguntas Frequentes sobre as Vulnerabilidades Oracle WebLogic de 2026
O que é a CVE-2024-21182 e por que é urgente em junho de 2026?
A CVE-2024-21182 é uma vulnerabilidade no Oracle WebLogic Server com pontuação CVSS 7.5 que permite a atacantes não autenticados aceder a todos os dados do servidor através dos protocolos T3 e IIOP. Embora o patch exista desde julho de 2024, a CISA confirmou a exploração ativa em junho de 2026 e ordenou às agências federais dos EUA a correção em 72 horas, ao abrigo da Binding Operational Directive 22-01.
Quantos servidores Oracle WebLogic estão vulneráveis na internet?
O Shodan identificou 1.592 servidores Oracle WebLogic diretamente acessíveis online e vulneráveis à CVE-2024-21182 em junho de 2026: 961 a executar a versão 12.2.1.4.0 e 631 a executar a versão 14.1.1.0.0. O número total de servidores vulneráveis em redes internas é significativamente superior.
O que é a CVE-2026-21962 e como difere da CVE-2024-21182?
A CVE-2026-21962 é uma vulnerabilidade de execução remota de código (RCE) com pontuação máxima CVSS 10.0, divulgada em janeiro de 2026 e explorada automaticamente desde o mesmo dia em que o exploit público foi disponibilizado. Afeta o Oracle HTTP Server e o WebLogic Server Proxy Plug-in. A CVE-2024-21182 afeta o componente Core e tem CVSS 7.5, mas ambas permitem exploração sem autenticação.
Que patches devo aplicar com urgência no meu servidor WebLogic?
Para proteção completa em junho de 2026, deve aplicar as Critical Patch Updates da Oracle de julho de 2024, janeiro de 2026, abril de 2026 e junho de 2026. A CPU de junho de 2026 é cumulativa e inclui os patches de CVEs anteriores. As atualizações estão disponíveis no My Oracle Support (MOS) na nota de patch específica para a versão do WebLogic em uso.
Estas vulnerabilidades afetam servidores WebLogic em Portugal?
Sim. O Oracle WebLogic está presente em bancos, seguradoras e organismos públicos portugueses. Servidores expostos diretamente à internet são vulneráveis sem autenticação. Servidores em redes internas são vulneráveis a ataques laterais a partir de outros sistemas comprometidos. O Centro Nacional de Cibersegurança (CNCS) considera os alertas KEV da CISA como referência prioritária para gestão de risco em infraestruturas críticas nacionais.
O que é o catálogo KEV da CISA e por que é relevante para organizações europeias?
O Known Exploited Vulnerabilities (KEV) Catalog da CISA é uma lista de vulnerabilidades com confirmação de exploração ativa em ataques reais. Embora seja obrigatório apenas para agências federais dos EUA, serve de referência para equipas de segurança e reguladores em todo o mundo, incluindo na Europa, para priorizar a aplicação de patches e avaliar a postura de segurança organizacional.
Que regulamentação europeia é aplicável a organizações que não corrijam estas vulnerabilidades?
Organizações europeias que sofram uma violação de dados resultante de vulnerabilidades conhecidas não corrigidas podem enfrentar coimas ao abrigo do RGPD de até 4% da faturação anual global. O Cyber Resilience Act, com conformidade plena exigida em 11 de setembro de 2026, acrescenta penalizações de até €15 milhões ou 2,5% da faturação global por falhas nos processos de gestão de vulnerabilidades em produtos com elementos digitais.
