A primeira das duas vulnerabilidades é CVE-2022-21587 (pontuação CVSS: 9,8), um problema crítico que afeta as versões 12.2.3 a 12.2.11 do produto Oracle Web Applications Desktop Integrator.
“O Oracle E-Business Suite contém uma vulnerabilidade não especificada que permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Web Applications Desktop Integrator”, disse a CISA .
O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch lançada em outubro de 2022. Não se sabe muito sobre a natureza dos ataques que exploram a vulnerabilidade.
A segunda falha de segurança a ser adicionada ao catálogo KEV é CVE-2023-22952 (pontuação CVSS: 8.8), que se relaciona a um caso de falta de validação de entrada no SugarCRM que pode resultar na injeção de código PHP arbitrário. O bug foi corrigido nas versões 11.0.5 e 12.0.2 do SugarCRM.
O desenvolvimento ocorre uma semana depois que a CISA também adicionou o CVE-2017-11357 (pontuação CVSS: 9,8), uma grave vulnerabilidade de segurança que afeta a Telerik UI que pode facilitar uploads arbitrários de arquivos ou execução remota de código.
À luz das tentativas ativas de exploração, as agências do Poder Executivo Federal Civil (FCEB) nos EUA devem aplicar os patches até 23 de fevereiro de 2023.
Fonte: https://thehackernews.com/
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…