← voltar
CVE-2024-20953

CVE-2024-20953

CVSS 8.8 HIGHEPSS 3.4%● KEVCWE-502
Vexday Risk Score
51Atenção
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 3.4%KEV simPoC Nuclei Metasploit Patch referenciado
Ciclo de vida
17 fev 2024Publicada no NVD
24 fev 2025Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

O Oracle Agile PLM versão 9.3.6 possui uma falha no recurso de exportação que permite a um usuário autenticado assumir o controle completo do sistema através de uma requisição de rede. Essa vulnerabilidade pode resultar em roubo, alteração ou destruição de dados.

Detalhe técnico

Vulnerabilidade CWE-502 (Desserialização de Dados não Confiáveis) no componente de exportação do Oracle Agile PLM 9.3.6. Vetor de ataque é baseado em rede (HTTP), requer acesso autenticado com privilégios baixos e sem interação do usuário. Exploração bem-sucedida resulta em comprometimento completo do sistema (impacto em confidencialidade, integridade e disponibilidade).

Resumo gerado e traduzido por IA a partir da descrição oficial.
Vulnerability in the Oracle Agile PLM product of Oracle Supply Chain (component: Export). The supported version that is affected is 9.3.6. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Agile PLM. Successful attacks of this vulnerability can result in takeover of Oracle Agile PLM. CVSS 3.1 Base Score 8.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Oracle Corporation · Agile PLM Framework

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-20953https://www.oracle.com/security-alerts/cpujan2024.htmlhttps://www.zerodayinitiative.com/advisories/ZDI-24-096/