ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) 2 Şubat’ta katma Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğunda, aktif istismarın kanıtlarına atıfta bulunan iki güvenlik açığı.
İki güvenlik açığından ilki, CVE-2022-21587 (CVSS puanı: 9.8), Oracle Web Applications Desktop Integrator ürününün 12.2.3 ila 12.2.11 sürümlerini etkileyen kritik bir sorun.
“Oracle E-Business Suite, HTTP yoluyla ağ erişimine sahip kimliği doğrulanmamış bir saldırganın Oracle Web Uygulamaları Masaüstü Entegratörü’nü tehlikeye atmasına izin veren, belirtilmemiş bir güvenlik açığı içeriyor”, CISA söz konusu.
Bu sorun, Oracle tarafından bir parçası olarak ele alındı. Kritik Yama Güncellemesi Ekim 2022’de yayınlandı. Güvenlik açığından yararlanan saldırıların doğası hakkında pek bir şey bilinmiyor, ancak geliştirme yayın 16 Ocak 2023’te siber güvenlik firması Viettel tarafından bir kavram kanıtı (PoC).
KEV kataloğuna eklenecek ikinci güvenlik açığı ise; CVE-2023-22952 (CVSS puanı: 8.8), SugarCRM’de isteğe bağlı PHP kodunun enjeksiyonuna neden olabilecek eksik giriş doğrulama durumuyla ilgilidir. Hata, SugarCRM 11.0.5 ve 12.0.2 sürümlerinde düzeltildi.
Gelişme, CISA’nın da eklenmesinden bir hafta sonra geliyor CVE-2017-11357 (CVSS puanı: 9.8), Telerik UI’yi etkileyen ve keyfi dosya yüklemelerini veya uzaktan kod yürütmeyi kolaylaştırabilen ciddi bir güvenlik açığı.
Aktif istismar girişimleri ışığında, ABD’deki Federal Sivil Yürütme Şubesi (FCEB) kurumlarının yamaları 23 Şubat 2023’e kadar uygulamaları gerekmektedir.