Oracle corrige una vulnerabilidad de seguridad en su software que podría haber permitido a los hackers robar archivos empresariales.

Oracle ha solucionado una vulnerabilidad en su producto Oracle Agile Product Lifecycle Management (PLM), que permitía a atacantes obtener archivos de la plataforma. Este fallo, identificado como CVE-2024-21287, fue explotado en el entorno real como un zero-day, lo que llevó a la compañía a instar a los usuarios a aplicar el parche de inmediato para proteger sus sistemas.

El software Oracle Agile PLM es utilizado por más de 1,100 empresas, principalmente grandes corporaciones con más de 10,000 empleados y unos ingresos que superan los mil millones de dólares. La cantidad exacta de usuarios individuales varía según la organización y su implementación del software, sin embargo, no se divulga públicamente.

La vulnerabilidad presenta un nivel de severidad calificado como alto, con una puntuación de 7.5. Oracle aclaró que puede ser explotada de forma remota sin necesidad de autenticación, lo que significa que un atacante podría acceder a la información sin requerir un nombre de usuario o contraseña. De no solucionarse, esto podría resultar en la divulgación de archivos sensibles.

Aunque en una comunicación inicial la empresa no confirmó la explotación activa de este fallo, un post posterior del vicepresidente de Seguridad de la compañía, Eric Maurice, lo corroboró al señalar que CrowdStrike había reportado la vulnerabilidad como explotada en la naturaleza.

En el momento de la publicación, no se tenían más detalles sobre los actores de la amenaza ni sus objetivos. Sin embargo, se enfatiza la importancia de aplicar el parche lo antes posible como medida de precaución.