Alerta CISA: vulnerabilidades de Oracle E-Business Suite y SugarCRM bajo ataque

Iniciado por Dragora, Febrero 03, 2023, 12:02:23 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El 2 de febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó dos fallas de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.

La primera de las dos vulnerabilidades es CVE-2022-21587 (puntuación CVSS: 9,8), un problema crítico que afecta a las versiones 12.2.3 a 12.2.11 del producto Oracle Web Applications Desktop Integrator.

"Oracle E-Business Suite contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa a Oracle Web Applications Desktop Integrator", dijo CISA .

Oracle abordó el problema como parte de su actualización de parche crítico lanzada en octubre de 2022. No se sabe mucho sobre la naturaleza de los ataques que explotan la vulnerabilidad.

La segunda falla de seguridad que se agregará al catálogo de KEV es CVE-2023-22952 (puntaje CVSS: 8.8 ), que se relaciona con un caso de falta de validación de entrada en SugarCRM que podría resultar en la inyección de código PHP arbitrario. El error se solucionó en las versiones 11.0.5 y 12.0.2 de SugarCRM.

El desarrollo se produce una semana después de que CISA también agregara CVE-2017-11357 (puntaje CVSS: 9.8 ), una vulnerabilidad de seguridad grave que afecta la interfaz de usuario de Telerik y que podría facilitar la carga de archivos arbitrarios o la ejecución remota de código.

A la luz de los intentos de explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. deben aplicar los parches antes del 23 de febrero de 2023.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta