A primeira das duas vulnerabilidades é CVE-2022-21587 (pontuação CVSS: 9,8), um problema crítico que afeta as versões 12.2.3 a 12.2.11 do produto Oracle Web Applications Desktop Integrator.
“O Oracle E-Business Suite contém uma vulnerabilidade não especificada que permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Web Applications Desktop Integrator”, disse a CISA .
O problema foi resolvido pela Oracle como parte de sua atualização crítica de patch lançada em outubro de 2022. Não se sabe muito sobre a natureza dos ataques que exploram a vulnerabilidade.
A segunda falha de segurança a ser adicionada ao catálogo KEV é CVE-2023-22952 (pontuação CVSS: 8.8), que se relaciona a um caso de falta de validação de entrada no SugarCRM que pode resultar na injeção de código PHP arbitrário. O bug foi corrigido nas versões 11.0.5 e 12.0.2 do SugarCRM.
O desenvolvimento ocorre uma semana depois que a CISA também adicionou o CVE-2017-11357 (pontuação CVSS: 9,8), uma grave vulnerabilidade de segurança que afeta a Telerik UI que pode facilitar uploads arbitrários de arquivos ou execução remota de código.
À luz das tentativas ativas de exploração, as agências do Poder Executivo Federal Civil (FCEB) nos EUA devem aplicar os patches até 23 de fevereiro de 2023.
Fonte: https://thehackernews.com/
Em 23 de junho de 2026, UBS e Nethermind anunciaram duas provas de conceito na…
Operadora japonesa confirma que invasão a sistema de e-mail compartilhado expôs até 14,22 milhões de…
Vazamento na fornecedora de IA para hospitais Xsolis atinge 1.396.519 indivíduos e inclui Social Security,…
Pesquisadores da Novee Security mapearam mais de 300 repositórios de alto impacto, em organizações como…
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…