L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) le 2 février ajoutée deux failles de sécurité dans son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.
La première des deux vulnérabilités est CVE-2022-21587 (score CVSS : 9,8), problème critique affectant les versions 12.2.3 à 12.2.11 du produit Oracle Web Applications Desktop Integrator.
« Oracle E-Business Suite contient une vulnérabilité non spécifiée qui permet à un attaquant non authentifié disposant d’un accès réseau via HTTP de compromettre Oracle Web Applications Desktop Integrator », CISA a dit.
Le problème a été traité par Oracle dans le cadre de son Mise à jour du correctif critique publié en octobre 2022. On ne sait pas grand-chose sur la nature des attaques exploitant la vulnérabilité.
La deuxième faille de sécurité à ajouter au catalogue KEV est CVE-2023-22952 (score CVSS : 8,8), qui concerne un cas de validation d’entrée manquante dans SugarCRM pouvant entraîner l’injection de code PHP arbitraire. Le bogue a été corrigé dans les versions 11.0.5 et 12.0.2 de SugarCRM.
Le développement intervient une semaine après que CISA a également ajouté CVE-2017-11357 (score CVSS : 9,8), une grave vulnérabilité de sécurité affectant l’interface utilisateur de Telerik qui pourrait faciliter le téléchargement de fichiers arbitraires ou l’exécution de code à distance.
À la lumière des tentatives d’exploitation actives, les agences du Federal Civilian Executive Branch (FCEB) aux États-Unis sont tenues d’appliquer les correctifs d’ici le 23 février 2023.