La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 2 de febrero agregado dos fallas de seguridad en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.
La primera de las dos vulnerabilidades es CVE-2022-21587 (puntuación CVSS: 9,8), un problema crítico que afecta a las versiones 12.2.3 a 12.2.11 del producto Oracle Web Applications Desktop Integrator.
“Oracle E-Business Suite contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa a Oracle Web Applications Desktop Integrator”, CISA dicho.
El problema fue abordado por Oracle como parte de su Actualización de parche crítico lanzado en octubre de 2022. No se sabe mucho sobre la naturaleza de los ataques que explotan la vulnerabilidad.
La segunda falla de seguridad que se agregará al catálogo de KEV es CVE-2023-22952 (puntaje CVSS: 8.8), que se relaciona con un caso de falta de validación de entrada en SugarCRM que podría resultar en la inyección de código PHP arbitrario. El error se solucionó en las versiones 11.0.5 y 12.0.2 de SugarCRM.
El desarrollo se produce una semana después de que CISA también agregó CVE-2017-11357 (puntuación CVSS: 9,8), una grave vulnerabilidad de seguridad que afecta a la interfaz de usuario de Telerik y que podría facilitar la carga de archivos arbitrarios o la ejecución remota de código.
A la luz de los intentos de explotación activos, las agencias del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. deben aplicar los parches antes del 23 de febrero de 2023.