اوراکل هجدهم نوامبر ۲۰۲۴ هشدار داد که یک نقص امنیتی با شدت بالا که بر فریمورک مدیریت چرخه عمر محصول چابک این شرکت (یا Oracle Agile PLM) تأثیر میگذارد، بطور فعال مورد سوء استفاده قرار گرفته است.
Agile PLM یک پلتفرم نرم افزاری است که کسب و کارها را قادر میسازد تا دادههای محصول، فرآیندها و همکاری بین تیمهای جهانی را مدیریت کنند.
این آسیب پذیری که با شناسه CVE-2024-21287 دنبال میشود (امتیاز CVSS: 7.5)، میتواند بدون احراز هویت برای افشای اطلاعات حساس مورد سوء استفاده قرار گیرد.
محصولات و نسخههای تحت تأثیر | نسخه به روزرسانی |
به طور کلی این آسیب پذیری از راه دور و بدون نیاز به احراز هویت قابل اکسپلویت میباشد، یعنی ممکن است از طریق شبکه بدون نیاز به نام کاربری و رمز عبور مورد سوء استفاده قرار گیرد. اکسپلویت موفق این آسیب پذیری منجر به افشای فایل میشود.
جوئل اسنیپ و لوتز ولف از محققان امنیتی CrowdStrike مسئول کشف و گزارش این آسیب پذیری هستند. در حال حاضر هیچ اطلاعاتی در مورد اینکه چه کسی از این آسیب پذیری سوء استفاده کرده است، اهداف فعالیتهای مخرب انجام شده و میزان گستردگی این حملات در دسترس نیست.
یک هکر احراز هویت نشده در صورت سوء استفاده موفقیت آمیز از CVE-2024-21287، میتواند فایلهایی را از سیستم هدف، دانلود کند که تحت دسترسی استفاده شده توسط برنامه PLM در دسترس هستند.
با توجه به آن که این آسیب پذیری تحت سوء استفاده فعال قرار گرفته است به کاربران توصیه میشود در اسرع وقت آخرین پچها را دریافت و اعمال نمایند.
