Skip to main content

Oracle segurtasun alerta bat argitaratu du Oracle Agile Product Lifecycle Management (PLM) produktuaren kalteberatasun bat lantzeko. Kalteberatasuna aktiboki ustiatzen ari dira, eta autentifikaziorik gabeko erasotzaile bati sistema komprometitzeko aukera eman diezaioke, datu kritikoetarako eta Framework-aren informazio osorako baimenik gabeko sarbidea emanez. Eragin nagusia datuen konfidentzialtasunean dago. Gomendagarria da kalteberatasun hau berehala arintzeko neurriak hartzea eta Oracle Supply Chain-eko informazio sentikorraren osotasuna babestea.

Eraginpeko baliabideak

  • Oracle Agile Product Lifecycle Management (PLM)
  • Oracle Agile PLM Framework, 9.3.6 bertsioa
  • Oracle Supply Chain produktuak

Analisi teknikoa

  • CVE-2024-21287: Oracle Supply Chain-eko Oracle Agile PLM Framework produktuan (osagaia: Software Development Kit, Process Extension) dagoen kalteberatasuna. Eraginpeko bertsio bateragarria 9.3.6 da. Kalteberatasun erraz ustiagarri honek HTTP bidez sarean sarbidea duen erasotzaile autentifikatu gabe bati Oracle Agile PLM Framework komprometitzeko aukera ematen dio. Kalteberatasun honen aurkako eraso arrakastatsuek datu kritikoetarako baimenik gabeko sarbidea edo Oracle Agile PLM Framework-eko datu guztietarako sarbide osoa eragin dezakete.
  • CWE-863
  • CVSS: 7.5
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Eraso bektorea: Sarea
    • Konplexutasuna: Baxua
    • Eskatutako pribilegioak: Bat ere ez
    • Erabiltzailearen elkarreragina: Bat ere ez
    • Esparrua: Aldaketarik gabe
    • Konfidentzialtasuna: Handia
    • Osotasuna: Bat ere ez
    • Erabilgarritasuna: Bat ere ez
  • Ustiaketa: Detektatua

Arintzea / Konponbidea

Arazo hau arintzeko, bezeroei gomendatzen zaie segurtasun alertan emandako eguneratzeak ahalik eta lasterren aplikatzea. Gainera, gomendagarria da bezeroek produktu-eguneratzeak planifikatzea, erabiltzen ari diren bertsioetarako adabakiak eskuragarri daudela bermatzeko. Gomendatutako ekintzen eta eraginpeko bertsioen inguruko informazio gehiago lortzeko, Oraclek emandako dokumentazioa dagokion estekan eskuratu daiteke.

Erreferentzia gehigarriak