A primeira das duas vulnerabilidades é CVE-2022-21587 (pontuação CVSS: 9,8), um problema crítico que afeta as versões 12.2.3 a 12.2.11 do produto Oracle Web Applications Desktop Integrator.
“O Oracle E-Business Suite contém uma vulnerabilidade não especificada que permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Web Applications Desktop Integrator”, disse a CISA .
O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch lançada em outubro de 2022. Não se sabe muito sobre a natureza dos ataques que exploram a vulnerabilidade.
A segunda falha de segurança a ser adicionada ao catálogo KEV é CVE-2023-22952 (pontuação CVSS: 8.8), que se relaciona a um caso de falta de validação de entrada no SugarCRM que pode resultar na injeção de código PHP arbitrário. O bug foi corrigido nas versões 11.0.5 e 12.0.2 do SugarCRM.
O desenvolvimento ocorre uma semana depois que a CISA também adicionou o CVE-2017-11357 (pontuação CVSS: 9,8), uma grave vulnerabilidade de segurança que afeta a Telerik UI que pode facilitar uploads arbitrários de arquivos ou execução remota de código.
À luz das tentativas ativas de exploração, as agências do Poder Executivo Federal Civil (FCEB) nos EUA devem aplicar os patches até 23 de fevereiro de 2023.
Fonte: https://thehackernews.com/
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…