La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 2 de febrero dos fallas de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.
La primera de las dos vulnerabilidades es CVE-2022-21587 (puntuación CVSS: 9.8), un problema crítico que afecta a las versiones 12.2.3 a 12.2.11 del producto Oracle Web Applications Desktop Integrator.
“Oracle E-Business Suite contiene una vulnerabilidad no especificada que permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle Web Applications Desktop Integrator”, dijo CISA.
Oracle abordó el problema como parte de su actualización de parche crítico lanzada en octubre de 2022. No se sabe mucho sobre la naturaleza de los ataques que explotan la vulnerabilidad, pero el desarrollo sigue a la publicación de una prueba de concepto (PoC) por parte de la firma de ciberseguridad Viettel el 16 de enero de 2023.
La segunda falla de seguridad que se agregará al catálogo KEV es CVE-2023-22952 (puntuación CVSS: 8.8), que se relaciona con un caso de validación de entrada faltante en SugarCRM que podría resultar en la inyección de código PHP arbitrario. El error se ha corregido en las versiones 11.0.5 y 12.0.2 de SugarCRM.
El desarrollo se produce una semana después de que CISA también agregara CVE-2017-11357 (puntuación CVSS: 9.8), una grave vulnerabilidad de seguridad que afecta a la interfaz de usuario de Telerik que podría facilitar la carga arbitraria de archivos o la ejecución remota de código.
A la luz de los intentos de explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) en los Estados Unidos deben aplicar los parches antes del 23 de febrero de 2023.
