Oracle针对产品生命周期管理系统Agile用户提出警告

本周Oracle修补产品生命周期管理（PLM）系统Agile的高风险漏洞CVE-2024-21287，值得留意的是，这项弱点已传出被用于攻击行动。

该公司先是发布安全公告，表示他们针对9.3.6版Agile PLM框架修补CVE-2024-21287，并指出攻击者无需通过身份验证，就能远程利用这项弱点，一旦成功利用，就有可能导致文件泄露，CVSS风险评为7.5分。

而在提交给美国国家漏洞数据库（NVD）的说明里，他们还提到这项漏洞相当容易利用，攻击者可通过HTTP连接入侵此生命周期管理系统，而且，若是成功利用漏洞，攻击者将能在未经授权的情况下，完整访问Agile所有能够访问的数据。

虽然在前述安全公告其中，Oracle并未进一步说明漏洞是否遭到利用，但该公司安全保证副总裁Eric Maurice通过博客提出警告，安全企业CrowdStrike向他们通报此事时，已出现积极且广泛利用的现象，呼吁IT人员应尽快取得修补程序并套用。