Ngày 03 tháng 2 năm 2023Ravie Lakshmanan Quản lý lỗ hổng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) vào ngày 2 tháng 2 đã thêm hai lỗ hổng bảo mật vào Danh mục các lỗ hổng bị khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác tích cực.
Lỗ hổng đầu tiên trong số hai lỗ hổng là CVE-2022-21587 (điểm CVSS: 9,8), một vấn đề nghiêm trọng ảnh hưởng đến các phiên bản 12.2.3 đến 12.2.11 của sản phẩm Trình tích hợp máy tính để bàn ứng dụng web của Oracle.
CISA cho biết: “Oracle E-Business Suite chứa một lỗ hổng không xác định cho phép kẻ tấn công không được xác thực có quyền truy cập mạng qua HTTP để xâm phạm Trình tích hợp máy tính để bàn ứng dụng web của Oracle”.
Vấn đề đã được Oracle giải quyết như một phần của Bản cập nhật bản vá quan trọng được phát hành vào tháng 10 năm 2022. Không có nhiều thông tin về bản chất của các cuộc tấn công khai thác lỗ hổng.
Lỗ hổng bảo mật thứ hai được thêm vào danh mục KEV là CVE-2023-22952 (điểm CVSS: 8,8), liên quan đến trường hợp thiếu xác thực đầu vào trong SugarCRM có thể dẫn đến việc tiêm mã PHP tùy ý. Lỗi này đã được sửa trong SugarCRM phiên bản 11.0.5 và 12.0.2.
Sự phát triển diễn ra một tuần sau khi CISA cũng bổ sung CVE-2017-11357 (điểm CVSS: 9,8), một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến giao diện người dùng Telerik có thể hỗ trợ tải lên tệp tùy ý hoặc thực thi mã từ xa.
Trước những nỗ lực khai thác tích cực, các cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB) tại Hoa Kỳ được yêu cầu áp dụng các bản vá trước ngày 23 tháng 2 năm 2023.