Oracle a corrigé un défaut de divulgation de fichiers non authentifié dans Oracle Agile Product Lifecycle Management (PLM) suivi sous le numéro CVE-2024-21287, qui était activement exploité comme un jour zéro pour télécharger des fichiers.
Oracle Agile PLM est une plate-forme logicielle qui permet aux entreprises de gérer les données produit, les processus et la collaboration entre les équipes mondiales.
Hier, Oracle a exhorté les clients Agile PLM à installer la dernière version pour corriger la faille CVE-2024-21287.
« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. Si elle est exploitée avec succès, cette vulnérabilité peut entraîner la divulgation de fichiers », a averti Oracle.
« Oracle recommande vivement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »
Alors qu’Oracle a déclaré que la faille avait été divulguée par Joel Rogue et Lutz Wolf de CrowdStrike, l’avis n’indiquait pas qu’elle était activement exploitée.
Cependant, un article de blog ultérieur du vice-président de l’Assurance de la sécurité d’Oracle, Eric Maurice, a confirmé qu’il avait été exploité dans des attaques.
« Cette vulnérabilité affecte Oracle Agile Product Lifecycle Management (PLM). Il a été signalé comme étant activement exploité « à l’état sauvage » par CrowdStrike », peut-on lire dans le message de Maurice.
« Cette vulnérabilité a reçu un score de base CVSS de 7,5. En cas d’exploitation réussie, un auteur non authentifié pourrait télécharger, à partir du système ciblé, des fichiers accessibles sous les privilèges utilisés par l’application PLM. »
On ignore comment la faille est actuellement exploitée et si les attaques ont été attribuées à un acteur menaçant particulier.
Breachtrace a contacté CrowdStrike et Oracle pour plus d’informations, mais n’a pas encore reçu de réponse.