Af Eskil Sørensen, 06/02/23
CISA advarer om, at sårbarheder i Oracle E-Business Suite og SugarCRM er under udnyttelse. Det sker med tilføjelsen af de to seneste sårbarheder i kataloget over kendte, udnyttede sårbarheder. Det skriver The Hacker News.
Den første af de to sårbarheder er CVE-2022-21587 (CVSS-score: 9,8), et kritisk problem, der påvirker version 12.2.3 til 12.2.11 af Oracle Web Applications Desktop Integrator-produktet.
Den anden sårbarhed er CVE-2023-22952 (CVSS-score: 8,8), som vedrører tilfælde af manglende inputvalidering i SugarCRM. Denne kan medføre indsprøjtning af vilkårlig PHP-kode. Fejlen er blevet rettet i SugarCRM version 11.0.5 og 12.0.2.
Begge sårbarheder blev rettet af Oracle i oktober sidste år. At de nu er kommet i forbryderalbummet, er atter en bekræftelse af, at sårbarheder ikke altid bliver rettet efter anbefalingerne.
CISA har beordret Federal Civilian Executive Branch (FCEB) agencies i USA til at håndtere sårbarhederne senest den 23. februar 2023. FCEB er en lang række føderale enheder, ministerier, styrelser, råd og nævn i USA.
Links:
https://thehackernews.com/2023/02/cisa-alert-oracle-e-business-suite-and.html