CVE-2024-21287

Oracle Agile Product Lifecycle Management (PLM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-21

Официальное описание

Oracle Agile Product Lifecycle Management (PLM) contains an incorrect authorization vulnerability in the Process Extension component of the Software Development Kit. Successful exploitation of this vulnerability may result in unauthenticated file disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21287 представляет собой критическую уязвимость типа Incorrect Authorization (некорректная авторизация) в компоненте Process Extension (SDK) системы Oracle Agile PLM.

Уязвимость позволяет неавторизованному злоумышленнику удаленно получить доступ к файловой системе сервера через специально сформированные HTTP-запросы. Эксплуатация приводит к раскрытию конфиденциальных данных (Unauthenticated File Disclosure), позволяя читать файлы, к которым имеет доступ учетная запись, под которой запущен сервис Agile PLM. Уязвимость получила оценку 7.5 по шкале CVSS v3.1.

Как исправить

Основным и рекомендуемым способом устранения является установка официального патча от Oracle. Данное исправление было выпущено в рамках внеочередного обновления безопасности.

  1. Перейдите на портал My Oracle Support (MOS).
  2. Найдите и скачайте патч для вашей версии Agile PLM (уязвимы версии 9.3.6, включая все пакеты обновлений до текущего момента).
  3. Перед установкой создайте резервную копию системы и базы данных.
  4. Остановите сервер приложений Agile PLM.
  5. Примените патч, используя утилиту OPatch:
opatch apply
  1. Очистите кэш сервера приложений (WLS cache).
  2. Запустите сервер приложений и проверьте логи на отсутствие ошибок инициализации SDK.

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих компенсирующих мер:

  1. Ограничение доступа на уровне WAF/Reverse Proxy: Настройте правила фильтрации входящего трафика, чтобы блокировать подозрительные запросы к эндпоинтам Process Extension и SDK, если они не требуются для внешних интеграций.

  2. Принцип минимальных привилегий: Убедитесь, что служба Agile PLM запущена от имени пользователя с минимально необходимыми правами в ОС. Ограничьте доступ этого пользователя к системным файлам и конфигурациям других приложений:

chmod 700 /etc/shadow

(Пример ограничения доступа к критическим файлам в Linux-системах).

  1. Мониторинг логов: Настройте алертинг на аномальное количество запросов к компонентам SDK и попытки обращения к путям типа ../ или абсолютным путям в параметрах запросов.

  2. Изоляция сети: Поместите сервер Agile PLM в изолированный сегмент сети (VLAN) и разрешите доступ к нему только доверенным узлам через VPN или внутреннюю сеть.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей