La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté le 2 février deux failles de sécurité à son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation active.
La première des deux vulnérabilités est CVE-2022-21587 (score CVSS : 9,8), un problème critique impactant les versions 12.2.3 à 12.2.11 du produit Oracle Web Applications Desktop Integrator.
« Oracle E-Business Suite contient une vulnérabilité non spécifiée qui permet à un attaquant non authentifié disposant d’un accès réseau via HTTP de compromettre Oracle Web Applications Desktop Integrator », a déclaré CISA.
Le problème a été résolu par Oracle dans le cadre de sa mise à jour de correctif critique publiée en octobre 2022. On ne sait pas grand-chose sur la nature des attaques exploitant la vulnérabilité.
La deuxième faille de sécurité à ajouter au catalogue KEV est CVE-2023-22952 (score CVSS : 8,8), qui concerne un cas de validation d’entrée manquante dans SugarCRM pouvant entraîner l’injection de code PHP arbitraire. Le bogue a été corrigé dans les versions 11.0.5 et 12.0.2 de SugarCRM.
Le développement intervient une semaine après que CISA a également ajouté CVE-2017-11357 (score CVSS : 9,8), une grave vulnérabilité de sécurité affectant l’interface utilisateur de Telerik qui pourrait faciliter les téléchargements de fichiers arbitraires ou l’exécution de code à distance.
À la lumière des tentatives d’exploitation actives, les agences du Federal Civilian Executive Branch (FCEB) aux États-Unis sont tenues d’appliquer les correctifs d’ici le 23 février 2023.