Η Oracle διόρθωσε ένα ελάττωμα αποκάλυψης αρχείων χωρίς έλεγχο ταυτότητας στο Oracle Agile Product Lifecycle Management (PLM) που παρακολουθείται ως CVE-2024-21287, το οποίο αξιοποιήθηκε ενεργά ως μηδενική ημέρα για τη λήψη αρχείων.
Το Oracle Agile PLM είναι μια πλατφόρμα λογισμικού που επιτρέπει στις επιχειρήσεις να διαχειρίζονται δεδομένα προϊόντων, διαδικασίες και συνεργασία μεταξύ των παγκόσμιων ομάδων.
Χθες, η Oracle προέτρεψε τους πελάτες του Agile PLM να εγκαταστήσουν την πιο πρόσφατη έκδοση για να διορθώσουν το ελάττωμα CVE-2024-21287.
“Αυτό το θέμα ευπάθειας είναι απομακρυσμένο εκμεταλλεύσιμο χωρίς έλεγχο ταυτότητας, δηλαδή, μπορεί να εκμεταλλευτεί μέσω δικτύου χωρίς την ανάγκη ονόματος χρήστη και κωδικού πρόσβασης. Εάν εκμεταλλευτεί επιτυχώς, αυτό το θέμα ευπάθειας μπορεί να οδηγήσει σε αποκάλυψη αρχείου.” προειδοποίησε η Oracle.
“Η Oracle συνιστά ανεπιφύλακτα στους πελάτες να εφαρμόζουν τις ενημερώσεις που παρέχονται από αυτήν την Ειδοποίηση Ασφαλείας το συντομότερο δυνατό.”
Ενώ η Oracle δήλωσε ότι το ελάττωμα αποκαλύφθηκε από τους Joel Snape και Lutz Wolf της CrowdStrike, η συμβουλευτική δεν ανέφερε ότι έγινε ενεργή εκμετάλλευση.
Ωστόσο, μια μεταγενέστερη ανάρτηση ιστολογίου από τον Αντιπρόεδρο Διασφάλισης Ασφαλείας της Oracle, Eric Maurice, επιβεβαίωσε ότι έγινε εκμετάλλευση σε επιθέσεις.
“Αυτή η ευπάθεια επηρεάζει το Oracle Agile Product Lifecycle Management (PLM). Έχει αναφερθεί ότι το CrowdStrike το εκμεταλλεύεται ενεργά “στη φύση””, αναφέρει το ανάρτηση του Maurice.
“Αυτή η ευπάθεια έχει λάβει Βασική Βαθμολογία CVSS 7,5. Εάν αξιοποιηθεί επιτυχώς, ένας δράστης χωρίς έλεγχο ταυτότητας θα μπορούσε να κατεβάσει, από το στοχευμένο σύστημα, αρχεία προσβάσιμα με τα προνόμια που χρησιμοποιεί η εφαρμογή PLM.”
Δεν είναι σαφές πώς γίνεται εκμετάλλευση του ελαττώματος επί του παρόντος και εάν οι επιθέσεις έχουν αποδοθεί σε έναν συγκεκριμένο παράγοντα απειλής.
Η BleepingComputer επικοινώνησε με την CrowdStrike και την Oracle για περισσότερες πληροφορίες, αλλά δεν έχει λάβει ακόμη απάντηση.
VIA: bleepingcomputer.com
