Oracle, Çevik Ürün Yaşam Döngüsü Yönetimi (PLM) Çerçevesini etkileyen yüksek önemdeki bir güvenlik kusurunun yaygın olarak istismar edildiği konusunda uyarıyor.
Şu şekilde izlenen güvenlik açığı: CVE-2024-21287 (CVSS puanı: 7,5), hassas bilgileri sızdırmak için kimlik doğrulaması yapılmadan kullanılabilir.
“Bu güvenlik açığından kimlik doğrulaması olmadan uzaktan yararlanılabilir; yani bir kullanıcı adı ve parolaya ihtiyaç duyulmadan bir ağ üzerinden kullanılabilir.” söz konusu bir danışma belgesinde. “Başarılı bir şekilde yararlanılırsa, bu güvenlik açığı dosyanın açığa çıkmasına neden olabilir.”
CrowdStrike güvenlik araştırmacıları Joel Snape ve Lutz Wolf, kusuru keşfetme ve bildirme konusunda itibar kazandılar.
Bu güvenlik açığından kimin yararlandığı, kötü amaçlı etkinliğin hedefleri ve bu saldırıların ne kadar yaygın olduğu konusunda şu anda herhangi bir bilgi mevcut değil.
Oracle Güvenlik Güvencesinden sorumlu başkan yardımcısı Eric Maurice, “Başarılı bir şekilde istismar edilirse, kimliği doğrulanmamış bir saldırgan, hedeflenen sistemden PLM uygulaması tarafından kullanılan ayrıcalıklar kapsamında erişilebilen dosyaları indirebilir” dedi. söz konusu.
Aktif istismarın ışığında, optimum koruma için kullanıcıların en yeni yamaları mümkün olan en kısa sürede uygulamaları önerilir.
Hacker News, yorum almak için Oracle ve CrowdStrike’a ulaştı. Bir yanıt alırsak bu hikayeyi güncelleyeceğiz.