Oracle prévient qu’une faille de sécurité de haute gravité affectant le cadre Agile Product Lifecycle Management (PLM) a été exploitée de manière sauvage.
La vulnérabilité, suivie comme CVE-2024-21287 (score CVSS : 7,5), pourrait être exploité sans authentification pour divulguer des informations sensibles.
« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe », précise-t-il. dit dans un avis. « Si elle est exploitée avec succès, cette vulnérabilité peut entraîner la divulgation de fichiers. »
Les chercheurs en sécurité de CrowdStrike, Joel Snape et Lutz Wolf, ont découvert et signalé la faille.
Il n’existe actuellement aucune information disponible sur qui exploite la vulnérabilité, les cibles de l’activité malveillante et l’ampleur de ces attaques.
« En cas d’exploitation réussie, un auteur non authentifié pourrait télécharger, depuis le système ciblé, des fichiers accessibles sous les privilèges utilisés par l’application PLM », Eric Maurice, vice-président de l’assurance de la sécurité chez Oracle, dit.
Compte tenu de l’exploitation active, il est recommandé aux utilisateurs d’appliquer les derniers correctifs dès que possible pour une protection optimale.
The Hacker News a contacté Oracle et CrowdStrike pour commentaires. Nous mettrons à jour cette histoire si nous obtenons une réponse.