Multiples vulnérabilités dans Oracle Weblogic Server
Summary
CERT-FR published advisory CERTFR-2026-AVI-0473 on 22 April 2026 alerting organisations to multiple critical vulnerabilities in Oracle WebLogic Server affecting versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, and 15.1.1.0.0. The vulnerabilities enable remote code execution, remote denial of service, data confidentiality compromise, and integrity breaches. Eight CVEs are referenced including CVE-2025-35036, CVE-2025-46392, and CVE-2026-34305. Affected parties are directed to apply Oracle's Critical Patch Update released 21 April 2026.
“De multiples vulnérabilités ont été découvertes dans Oracle Weblogic. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.”
Any organisation running Oracle WebLogic Server 12.2.1.4.0 through 15.1.1.0.0 should immediately inventory their installations and apply Oracle's Critical Patch Update released 21 April 2026. These vulnerabilities are remotely exploitable without authentication and the RCE risk is severe — affected deployments, particularly internet-facing middleware, should be treated as a priority patching cycle. While this is a CERT-FR advisory, the underlying Oracle CPU is global and may also trigger obligations under EU NIS2 incident reporting timelines if exploitation occurs.
About this source
GovPing monitors CERT-FR Security Advisories for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 183 changes logged to date.
What changed
CERT-FR issued a critical security advisory covering eight vulnerabilities in Oracle WebLogic Server across four versions. The most severe allow unauthenticated remote attackers to execute arbitrary code, cause denial of service, or exfiltrate data over the network without user interaction. The advisory cites Oracle's April 2026 Critical Patch Update as the authoritative patch source and lists eight associated CVEs.
Organisations running Oracle WebLogic Server should immediately inventory their installations against the affected versions and apply Oracle's April 2026 CPU as a priority. The vulnerabilities are remotely exploitable and carry significant risk for any internet-facing middleware deployments. Security teams should treat this as an urgent patching cycle, not a routine update.
What to do next
- Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)
Archived snapshot
Apr 22, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Premier Ministre S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 avril 2026 N° CERTFR-2026-AVI-0473 Affaire suivie par: CERT-FR
Avis du CERT-FR
Objet: Multiples vulnérabilités dans Oracle Weblogic
Gestion du document
| Référence | CERTFR-2026-AVI-0473 |
| Titre | Multiples vulnérabilités dans Oracle Weblogic |
| Date de la première version | 22 avril 2026 |
| Date de la dernière version | 22 avril 2026 |
| Source(s) | Bulletin de sécurité Oracle Weblogic cpuapr2026 du 21 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle WebLogic Server version 12.2.1.4.0
- Oracle WebLogic Server version 14.1.1.0.0
- Oracle WebLogic Server version 14.1.2.0.0
- Oracle WebLogic Server version 15.1.1.0.0
Résumé
De multiples vulnérabilités ont été découvertes dans Oracle Weblogic. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle Weblogic cpuapr2026 du 21 avril 2026
- https://www.oracle.com/security-alerts/cpuapr2026.html
- Référence CVE CVE-2025-35036
- https://www.cve.org/CVERecord?id=CVE-2025-35036
- Référence CVE CVE-2025-46392
- https://www.cve.org/CVERecord?id=CVE-2025-46392
- Référence CVE CVE-2025-48924
- https://www.cve.org/CVERecord?id=CVE-2025-48924
- Référence CVE CVE-2025-68161
- https://www.cve.org/CVERecord?id=CVE-2025-68161
- Référence CVE CVE-2025-8916
- https://www.cve.org/CVERecord?id=CVE-2025-8916
- Référence CVE CVE-2026-34292
- https://www.cve.org/CVERecord?id=CVE-2026-34292
- Référence CVE CVE-2026-34305
- https://www.cve.org/CVERecord?id=CVE-2026-34305
- Référence CVE CVE-2026-34315
- https://www.cve.org/CVERecord?id=CVE-2026-34315
Gestion détaillée du document
- le 22 avril 2026 Version initiale
Related changes
Get daily alerts for CERT-FR Security Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from ANSSI.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when CERT-FR Security Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.