Oracle Agile PLM Framework文件泄露漏洞CVE-2024-21287

Oracle Agile PLM（Product Lifecycle Management） Framework 方案套件是 Oracle 公司提供的一整套全面的产品生命周期管理解决方案。

该产品设计宗旨是帮助企业在整个产品生命周期内加速收益，降低成本，提高质量，驱动创新，并符合法律规范，方案套件聚焦产品记录。

一、基本情况

Oracle Agile PLM可以有效解决产品研发管理中的核心痛点，包括数据管控和安全、任务执行、项目监督以及标准化流程管理等方面的问题。

该产品旨在帮助企业有效管理产品开发过程中的所有关键数据和业务流程，包括从概念设计到生产、分销、售后等所有环节的流程和数据。

该产品有助于帮助企业通过集成产品数据、流程和协作的整个生命周期，从而可提高产品开发的效率、降低成本、确保合规性并加速创新。

栋科技漏洞库关注到 Oracle 发布安全公告，攻击者正积极利用 Oracle Agile PLM Framework 文件泄露漏洞，漏洞追踪为CVE-2024-2128。

二、漏洞分析

CVE-2024-2128是Oracle Agile PLM Framework（组件：Software Development Kit和Pzrocess Extension）信息泄露漏洞，CVSS评分7.5。

该漏洞无需身份验证即可远程利用，未经身份验证的攻击者即无需用户名和密码，通过 HTTP 访问并利用该漏洞，从而可能导致文件泄露。

甲骨文的安全警报显示，该漏洞会影响Oracle敏捷产品生命周期管理（PLM），以 PLM 应用程序使用的权限下载目标系统上可访问的文件。

CrowdStrike 的Joel Snape和Lutz Wolf披露了该漏洞，可能导致未授权访问并获取Oracle Agile PLM Framework 中存储的敏感数据或文件。

三、影响范围

Oracle Agile PLM Framework < 9.3.6

四、修复建议安全

目前Oracle已发布了该漏洞的补丁，受影响用户可及时更新。

Oracle Agile PLM Framework >= 9.3.6

五、参考链接

https://www.oracle.com/security-alerts/alert-cve-2024-21287.html