Oracle, Çevik Ürün Yaşam Döngüsü Yönetimi (PLM) Çerçevesini etkileyen yüksek önemdeki bir güvenlik kusurunun yaygın olarak istismar edildiği konusunda uyarıyor.
Şu şekilde izlenen güvenlik açığı: CVE-2024-21287 (CVSS puanı: 7,5), hassas bilgileri sızdırmak için kimlik doğrulaması yapılmadan kullanılabilir.
Bir danışma belgesinde “Bu güvenlik açığından kimlik doğrulaması olmadan uzaktan yararlanılabilir; yani bir kullanıcı adı ve parola gerekmeden ağ üzerinden kullanılabilir” denildi. “Başarılı bir şekilde yararlanılırsa, bu güvenlik açığı dosyanın açığa çıkmasına neden olabilir.”
CrowdStrike güvenlik araştırmacıları Joel Snape ve Lutz Wolf, kusuru keşfetme ve bildirme konusunda itibar kazandılar.
Bu güvenlik açığından kimin yararlandığı, kötü amaçlı etkinliğin hedefleri ve bu saldırıların ne kadar yaygın olduğu konusunda şu anda herhangi bir bilgi mevcut değil.
Oracle Güvenlik Güvencesi başkan yardımcısı Eric Maurice, “Başarılı bir şekilde istismar edilirse, kimliği doğrulanmamış bir saldırgan, hedeflenen sistemden, PLM uygulaması tarafından kullanılan ayrıcalıklar kapsamında erişilebilen dosyaları indirebilir” dedi.
Aktif istismarın ışığında, optimum koruma için kullanıcıların en yeni yamaları mümkün olan en kısa sürede uygulamaları önerilir.
Hacker News, yorum almak için Oracle ve CrowdStrike’a ulaştı. Bir yanıt alırsak bu hikayeyi güncelleyeceğiz.