A primeira das duas vulnerabilidades é CVE-2022-21587 (pontuação CVSS: 9,8), um problema crítico que afeta as versões 12.2.3 a 12.2.11 do produto Oracle Web Applications Desktop Integrator.
“O Oracle E-Business Suite contém uma vulnerabilidade não especificada que permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Web Applications Desktop Integrator”, disse a CISA .
O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch lançada em outubro de 2022. Não se sabe muito sobre a natureza dos ataques que exploram a vulnerabilidade.
A segunda falha de segurança a ser adicionada ao catálogo KEV é CVE-2023-22952 (pontuação CVSS: 8.8), que se relaciona a um caso de falta de validação de entrada no SugarCRM que pode resultar na injeção de código PHP arbitrário. O bug foi corrigido nas versões 11.0.5 e 12.0.2 do SugarCRM.
O desenvolvimento ocorre uma semana depois que a CISA também adicionou o CVE-2017-11357 (pontuação CVSS: 9,8), uma grave vulnerabilidade de segurança que afeta a Telerik UI que pode facilitar uploads arbitrários de arquivos ou execução remota de código.
À luz das tentativas ativas de exploração, as agências do Poder Executivo Federal Civil (FCEB) nos EUA devem aplicar os patches até 23 de fevereiro de 2023.
Fonte: https://thehackernews.com/
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…