Oracle, Oracle Agile Ürün Yaşam Döngüsü Yönetimi’nde (PLM) CVE-2024-21287 olarak izlenen ve dosyaları indirmek için sıfır gün olarak etkin bir şekilde kullanılan, kimliği doğrulanmamış bir dosya ifşa kusurunu düzeltti.
Oracle Agile PLM, işletmelerin küresel ekipler arasında ürün verilerini, süreçlerini ve iş birliğini yönetmesine olanak tanıyan bir yazılım platformudur.
Dün Oracle, Agile PLM müşterilerini CVE-2024-21287 kusurunu düzeltmek için en son sürümü yüklemeye çağırdı.
Oracle, “Bu güvenlik açığından kimlik doğrulama olmadan uzaktan yararlanılabilir, yani kullanıcı adı ve parola gerekmeden ağ üzerinden kullanılabilir. Başarılı bir şekilde yararlanılırsa, bu güvenlik açığı dosyanın açığa çıkmasına neden olabilir” diye uyardı.
“Oracle, müşterilerin bu Güvenlik Uyarısı tarafından sağlanan güncellemeleri mümkün olan en kısa sürede uygulamalarını şiddetle tavsiye eder.”
Oracle, kusurun Joel Snape ve CrowdStrike’dan Lutz Wolf tarafından ifşa edildiğini belirtirken, tavsiye belgesinde kusurun aktif olarak kullanıldığı belirtilmedi.
Ancak Oracle’ın Güvenlik Güvencesinden Sorumlu Başkan Yardımcısı Eric Maurice tarafından daha sonra yayınlanan bir blog yazısı, saldırılarda bu özelliğin istismar edildiğini doğruladı.
Maurice’in gönderisi şöyle: “Bu güvenlik açığı Oracle Agile Product Lifecycle Management’ı (PLM) etkiliyor. CrowdStrike tarafından “vahşi ortamda” aktif olarak kullanıldığı rapor edildi.”
“Bu güvenlik açığı 7,5 CVSS Taban Puanı aldı. Başarılı bir şekilde yararlanılırsa, kimliği doğrulanmamış bir saldırgan, hedeflenen sistemden, PLM uygulamasının kullandığı ayrıcalıklar kapsamında erişilebilen dosyaları indirebilir.”
Kusurun şu anda nasıl kullanıldığı ve saldırıların belirli bir tehdit aktörüne atfedilip atfedilmediği belli değil.
BleepingComputer daha fazla bilgi için hem CrowdStrike hem de Oracle ile iletişime geçti ancak henüz bir yanıt alamadı.