(https://i.postimg.cc/Yqbbjg1V/Oracle.png) (https://postimg.cc/YhL1svDf)
Oracle ha corregido una falla de divulgación de archivos no autenticados en Oracle Agile Product Lifecycle Management (PLM) identificada como CVE-2024-21287, que se explotaba activamente como un día cero para descargar archivos.
Oracle Agile PLM es una plataforma de software que permite a las empresas gestionar datos de productos, procesos y colaboración entre equipos globales.
Ayer, Oracle instó a los clientes de Agile PLM a instalar la última versión para corregir la falla CVE-2024-21287.
"Esta vulnerabilidad se puede explotar de forma remota sin autenticación, es decir, se puede explotar a través de una red sin necesidad de un nombre de usuario y una contraseña. Si se explota con éxito, esta vulnerabilidad puede dar lugar a la divulgación de archivos", advirtió Oracle.
"Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta alerta de seguridad lo antes posible".
Si bien Oracle afirmó que la falla fue revelada por Joel Snape y Lutz Wolf de CrowdStrike, el aviso no indicó que se haya explotado activamente.
Sin embargo, una publicación posterior en el blog del vicepresidente de garantía de seguridad de Oracle, Eric Maurice, confirmó que se había explotado en ataques.
"Esta vulnerabilidad afecta a Oracle Agile Product Lifecycle Management (PLM). CrowdStrike informó que se estaba explotando activamente "en la naturaleza", se lee en la publicación de Maurice.
"Esta vulnerabilidad ha recibido una puntuación base CVSS de 7,5. Si se explota con éxito, un atacante no autenticado podría descargar, desde el sistema atacado, archivos accesibles con los privilegios utilizados por la aplicación PLM".
No está claro cómo se está explotando actualmente la falla y si los ataques se han atribuido a un actor de amenazas en particular.
BleepingComputer se puso en contacto con CrowdStrike y Oracle para obtener más información, pero aún no ha recibido respuesta.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/oracle-warns-of-agile-plm-file-disclosure-flaw-exploited-in-attacks/