Oracle memperingatkan bahwa kelemahan keamanan tingkat tinggi yang berdampak pada Kerangka Agile Product Lifecycle Management (PLM) telah dieksploitasi secara liar.
Kerentanannya, dilacak sebagai CVE-2024-21287 (skor CVSS: 7.5), dapat dieksploitasi tanpa autentikasi untuk membocorkan informasi sensitif.
“Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa otentikasi, yaitu dapat dieksploitasi melalui jaringan tanpa memerlukan nama pengguna dan kata sandi,” katanya dalam sebuah peringatan. “Jika berhasil dieksploitasi, kerentanan ini dapat mengakibatkan pengungkapan file.”
Peneliti keamanan CrowdStrike Joel Snape dan Lutz Wolf telah berjasa menemukan dan melaporkan kelemahan tersebut.
Saat ini tidak ada informasi tersedia mengenai siapa yang mengeksploitasi kerentanan, target aktivitas jahat, dan seberapa luas serangan ini.
“Jika berhasil dieksploitasi, pelaku yang tidak diautentikasi dapat mengunduh, dari sistem yang ditargetkan, file yang dapat diakses berdasarkan hak istimewa yang digunakan oleh aplikasi PLM,” kata Eric Maurice, wakil presiden Jaminan Keamanan di Oracle.
Mengingat eksploitasi aktif, pengguna disarankan untuk menerapkan patch terbaru sesegera mungkin untuk perlindungan optimal.
The Hacker News telah menghubungi Oracle dan CrowdStrike untuk memberikan komentar. Kami akan memperbarui cerita ini jika kami mendapat balasan.