Oracle está alertando sobre uma vulnerabilidade de segurança de alta gravidade afetando o Framework de Gerenciamento de Ciclo de Vida do Produto Agile (PLM) que já está sendo explorada em ataques reais.

A vulnerabilidade, identificada como CVE-2024-21287 (pontuação CVSS: 7,5), pode ser explorada sem autenticação, permitindo o vazamento de informações sensíveis.

"Esta vulnerabilidade pode ser explorada remotamente sem autenticação, ou seja, pode ser explorada via rede sem a necessidade de um nome de usuário e senha," disse a empresa em um comunicado. "Se explorada com sucesso, essa vulnerabilidade pode resultar na divulgação de arquivos."

Os pesquisadores de segurança da CrowdStrike, Joel Snape e Lutz Wolf, foram creditados pela descoberta e notificação da falha.

Atualmente, não há informações disponíveis sobre quem está explorando a vulnerabilidade, quais são os alvos dessas atividades maliciosas, e quão generalizadas são essas explorações.

"Se explorada com sucesso, um perpetrador sem autenticação poderia baixar arquivos do sistema alvo que estejam acessíveis sob os privilégios utilizados pela aplicação PLM," afirmou Eric Maurice, vice-presidente de Garantia de Segurança da Oracle.

Dada a exploração ativa, recomenda-se que os usuários apliquem as últimas atualizações de segurança o mais rápido possível para uma proteção ótima.

Via - THN