ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), 2 Şubat’ta Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuna, aktif sömürüye ilişkin kanıtlara atıfta bulunarak iki güvenlik açığı ekledi.
İki güvenlik açığından ilki, Oracle Web Applications Desktop Integrator ürününün 12.2.3 ila 12.2.11 sürümlerini etkileyen kritik bir sorun olan CVE-2022-21587’dir (CVSS puanı: 9.8).
CISA, “Oracle E-Business Suite, HTTP yoluyla ağ erişimine sahip kimliği doğrulanmamış bir saldırganın Oracle Web Uygulamaları Masaüstü Entegratörü’nü tehlikeye atmasına izin veren, belirtilmemiş bir güvenlik açığı içeriyor” dedi.
Bu sorun, Oracle tarafından Ekim 2022’de yayınlanan Kritik Yama Güncellemesinin bir parçası olarak giderildi. Güvenlik açığından yararlanan saldırıların doğası hakkında pek bir şey bilinmiyor.
KEV kataloğuna eklenecek ikinci güvenlik açığı, SugarCRM’de isteğe bağlı PHP kodunun eklenmesine neden olabilecek eksik giriş doğrulama durumuyla ilgili CVE-2023-22952’dir (CVSS puanı: 8.8). Hata, SugarCRM 11.0.5 ve 12.0.2 sürümlerinde düzeltildi.
Geliştirme, CISA’nın Telerik UI’yi etkileyen ve keyfi dosya yüklemelerini veya uzaktan kod yürütmeyi kolaylaştırabilecek ciddi bir güvenlik açığı olan CVE-2017-11357’yi (CVSS puanı: 9.8) eklemesinden bir hafta sonra gelir.
Aktif istismar girişimleri ışığında, ABD’deki Federal Sivil Yürütme Şubesi (FCEB) kurumlarının yamaları 23 Şubat 2023’e kadar uygulamaları gerekmektedir.