Oracle a corrigé une faille de divulgation de fichiers non authentifiés dans Oracle Agile Product Lifecycle Management (PLM) suivie comme CVE-2024-21287, qui a été activement exploitée comme un jour zéro pour télécharger des fichiers.

Oracle Agile PLM est une plate-forme logicielle qui permet aux entreprises de gérer les données produit, les processus et la collaboration au sein des équipes mondiales.

Hier, Oracle a exhorté les clients Agile PLM à installer la dernière version pour corriger la faille CVE-2024-21287.

« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. Si elle est exploitée avec succès, cette vulnérabilité peut entraîner la divulgation de fichiers. » prévenu Oracle.

« Oracle recommande fortement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »

Alors qu’Oracle a déclaré que la faille avait été révélée par Joel Snape et Lutz Wolf de CrowdStrike, l’avis n’indiquait pas qu’elle avait été activement exploitée.

Cependant, un article de blog ultérieur du vice-président de l’assurance de la sécurité d’Oracle, Eric Maurice, a confirmé qu’il avait été exploité lors d’attaques.

« Cette vulnérabilité affecte Oracle Agile Product Lifecycle Management (PLM). Elle a été signalée comme étant activement exploitée « dans la nature » par CrowdStrike », lit-on dans le communiqué. message de Maurice.

« Cette vulnérabilité a reçu un score de base CVSS de 7,5. S’il est exploité avec succès, un auteur non authentifié pourrait télécharger, à partir du système ciblé, des fichiers accessibles sous les privilèges utilisés par l’application PLM. »

On ne sait pas exactement comment la faille est actuellement exploitée et si les attaques ont été attribuées à un acteur menaçant particulier.

BleepingComputer a contacté CrowdStrike et Oracle pour plus d’informations mais n’a pas encore reçu de réponse.