Alerta CISA: Vulnerabilidades Oracle E-Business Suite e SugarCRM estão sob ataque

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em 2 de fevereiro adicionou duas falhas de segurança ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

A primeira das duas vulnerabilidades é CVE-2022-21587 (pontuação CVSS: 9,8), um problema crítico que afeta as versões 12.2.3 a 12.2.11 do produto Oracle Web Applications Desktop Integrator.

“O Oracle E-Business Suite contém uma vulnerabilidade não especificada que permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Web Applications Desktop Integrator”, disse a CISA .

O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch lançada em outubro de 2022. Não se sabe muito sobre a natureza dos ataques que exploram a vulnerabilidade.

A segunda falha de segurança a ser adicionada ao catálogo KEV é CVE-2023-22952 (pontuação CVSS: 8.8), que se relaciona a um caso de falta de validação de entrada no SugarCRM que pode resultar na injeção de código PHP arbitrário. O bug foi corrigido nas versões 11.0.5 e 12.0.2 do SugarCRM.

O desenvolvimento ocorre uma semana depois que a CISA também adicionou o CVE-2017-11357 (pontuação CVSS: 9,8), uma grave vulnerabilidade de segurança que afeta a Telerik UI que pode facilitar uploads arbitrários de arquivos ou execução remota de código.

À luz das tentativas ativas de exploração, as agências do Poder Executivo Federal Civil (FCEB) nos EUA devem aplicar os patches até 23 de fevereiro de 2023.

Fonte: https://thehackernews.com/