Oracle安全警报公告 - CVE-2024-21287
描述
本安全警报针对Oracle Agile产品生命周期管理(PLM)中的CVE-2024-21287漏洞。此漏洞无需身份验证即可远程利用,即可能通过网络利用,无需用户名和密码。如果成功利用,此漏洞可能导致文件泄露。
Oracle强烈建议客户尽快应用此安全警报提供的更新。
受影响产品和补丁信息
本安全警报解决的安全漏洞影响以下列出的产品。请点击下方"补丁可用文档"列中的链接,访问补丁可用性信息和安装说明的文档。
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Oracle Agile PLM框架,版本9.3.6 | Oracle供应链产品 |
安全警报支持的产品和版本
通过安全警报程序发布的补丁仅适用于处于终身支持政策的优先支持或扩展支持阶段的产品版本。Oracle建议客户规划产品升级,以确保通过安全警报程序发布的补丁可用于其当前运行的版本。
未处于优先支持或扩展支持的产品版本未针对此安全警报解决的漏洞进行测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
参考资料
- Oracle关键补丁更新、安全警报和公告
- Oracle关键补丁更新和安全警报 - 常见问题
- 风险矩阵定义
- Oracle使用通用漏洞评分系统(CVSS)
- 风险矩阵的英文文本版本
- 风险矩阵的CSAF JSON版本
- CVE到公告/警报的映射
- Oracle终身支持政策
- JEP 290参考阻止列表过滤器
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。以前安全补丁的风险矩阵可以在以前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在此处。
安全漏洞使用CVSS 3.1版进行评分(请参阅Oracle CVSS评分以了解Oracle如何应用CVSS 3.1版)。
Oracle对安全警报解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但生成的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。Oracle提供此信息是为了让客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅Oracle漏洞披露政策。
风险矩阵中的协议意味着其所有安全变体也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS也受到影响。协议的安全变体仅在它是唯一受影响的变体时才在风险矩阵中列出。
致谢声明
以下人员或组织向Oracle报告了此安全警报解决的安全漏洞:
- CrowdStrike的Joel Snape:CVE-2024-21287
- CrowdStrike的Lutz Wolf:CVE-2024-21287
修改历史
| 日期 | 说明 |
|---|---|
| 2024年11月18日 | Rev 1. 初始发布。 |
Oracle供应链风险矩阵
此安全警报包含1个用于Oracle供应链的新安全补丁。此漏洞无需身份验证即可远程利用,即可能通过网络利用,无需用户凭据。此风险矩阵的英文文本形式可在此处找到。
| CVE ID | 产品 | 组件 | 协议 | 远程利用无需认证? | 基础评分 | 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性 | 完整性 | 可用性 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2024-21287 | Oracle Agile PLM框架 | 软件开发工具包,流程扩展 | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 未改变 | 高 | 无 | 无 | 9.3.6 |