オラクルは、CVE-2024-21287として追跡されているOracle Agile Product Lifecycle Management(PLM)の認証されていないファイル開示の不具合を修正しました。
Oracle Agile PLMは、企業が製品データ、プロセス、およびグローバル・チーム間のコラボレーションを管理できるようにするソフトウェア・プラットフォームです。
昨日、オラクルはAgile PLMの顧客に対し、CVE-2024-21287の不具合を修正した最新バージョンをインストールするよう促した。
「この脆弱性は、認証なしでリモートから悪用可能です。つまり、ユーザー名とパスワードを必要とせずに、ネットワーク経由で悪用される可能性があります。この脆弱性が悪用された場合、ファイルの漏洩につながる可能性があります」とオラクルは警告している。
「オラクルは、このセキュリティ・アラートによって提供されるアップデートをできるだけ早く適用することを強く推奨する」と警告している。
オラクルは、この欠陥がCrowdStrike社のJoel Snape氏とLutz Wolf氏によって開示されたと述べているが、勧告では、この欠陥が積極的に悪用されたとは示していない。
しかし、オラクルのセキュリティ・アシュアランス担当バイス・プレジデントであるエリック・モーリス氏による後のブログ投稿では、この脆弱性が攻撃で悪用されたことが確認されている。
「この脆弱性は、Oracle Agile Product Lifecycle Management(PLM)に影響します。 この脆弱性は、CrowdStrikeによって “野生で “積極的に悪用されていると報告されています。
「この脆弱性のCVSS基本スコアは7.5である。 悪用に成功した場合、認証されていない加害者は、PLMアプリケーションで使用される権限でアクセス可能なファイルを、標的のシステムからダウンロードする可能性があります。”
この欠陥が現在どのように悪用されているのか、また攻撃が特定の脅威行為者に起因するものなのかは不明である。
CrowdStrike社とオラクル社に問い合わせたが、まだ回答は得られていない。
Comments