Oracle đang cảnh báo rằng một lỗ hổng bảo mật nghiêm trọng cao ảnh hưởng đến Khung quản lý vòng đời sản phẩm Agile (PLM) đã bị khai thác trong tự nhiên.
Lỗ hổng, được theo dõi là CVE-2024-21287 (điểm CVSS: 7,5), có thể bị khai thác mà không cần xác thực để rò rỉ thông tin nhạy cảm.
"Lỗ hổng này có thể khai thác từ xa mà không cần xác thực, tức là, nó có thể được khai thác qua mạng mà không cần tên người dùng và mật khẩu", nó cho biết trong một lời khuyên. "Nếu khai thác thành công, lỗ hổng này có thể dẫn đến tiết lộ tập tin."
Các nhà nghiên cứu bảo mật của CrowdStrike Joel Snape và Lutz Wolf đã được ghi nhận là người phát hiện và báo cáo lỗ hổng.
Hiện tại không có thông tin về việc ai đang khai thác lỗ hổng, mục tiêu của hoạt động độc hại và mức độ lan rộng của các cuộc tấn công này.
"Nếu khai thác thành công, một thủ phạm chưa được xác thực có thể tải xuống, từ hệ thống được nhắm mục tiêu, các tệp có thể truy cập theo các đặc quyền được sử dụng bởi ứng dụng PLM", Eric Maurice, phó chủ tịch đảm bảo an ninh tại Oracle, cho biết.
Trong bối cảnh khai thác tích cực, người dùng nên áp dụng các bản vá mới nhất càng sớm càng tốt để bảo vệ tối ưu.
Hacker News đã liên hệ với Oracle và CrowdStrike để bình luận. Chúng tôi sẽ cập nhật câu chuyện này nếu chúng tôi nhận được câu trả lời.