Oracle 已修补 Agile PLM 中一个已被广泛利用的高严重性信息泄露零日漏洞。
本周,Oracle 宣布发布补丁,修复 Agile 产品生命周期管理 (PLM) 中一个已被广泛利用的高严重性信息泄露漏洞。
该零日漏洞编号为 CVE-2024-21287(CVSS 评分为 7.5),影响 Agile PLM 版本 9.3.6,无需身份验证即可进行远程利用。
Oracle 在其公告中对 CrowdStrike 的 Joel Snape 和 Lutz Wolf 报告此漏洞表示感谢,而 Oracle 安全保障副总裁 Eric Maurice 则透露,该安全漏洞已被发现在野外被积极利用。
“如果成功利用该漏洞,未经身份验证的犯罪者可以从目标系统下载可在 PLM 应用程序使用的权限下访问的文件。”
据该公司称,通过 HTTP 协议获得网络访问权限的远程、未经身份验证的攻击者可以轻松利用 CVE-2024-21287 来访问关键数据或获得对所有 Agile PLM Framework 可访问数据的完全访问权限。
“Oracle 强烈建议客户尽快应用此安全警报提供的更新。”
Oracle 和 CrowdStrike 均未分享有关该漏洞以及观察到的野外利用的技术信息。
Agile PLM 大约在 20 年前推出,为组织提供产品数据和流程管理以及跨团队协作功能。2024 年 4 月,Oracle 表示将停止该产品,并于 2027 年 12 月 31 日终止对该产品的首要支持。
参考链接https://www.securityweek.com/oracle-patches-exploited-agile-plm-zero-day/
发表评论