Oracle heeft buiten de vaste patchcyclus om een noodupdate uitgebracht voor een actief aangevallen kwetsbaarheid in Agile Product Lifecycle Management (PLM). De aanvallen vonden al voor het uitkomen van de patch plaats. Oracle Agile PLM is een platform dat bedrijven moet helpen bij de levenscyclus van een product, zoals het ontwerp, de ontwikkeling, lancering en beheer.

De oplossing draait op een eigen applicatieserver en bevat allerlei informatie over nog te ontwerpen, ontwikkelen en lanceren producten. Een kwetsbaarheid in Oracle PLM maakt het mogelijk voor ongeauthenticeerde aanvallers met toegang tot de oplossing om vertrouwelijke bestanden te stelen. Oracle werd door securitybedrijf CrowdStrike ingelicht dat de kwetsbaarheid bij aanvallen werd ingezet.

De impact van het beveiligingslek, aangeduid als CVE-2024-21287, is op een schaal van 1 tot en met 10 beoordeeld met 7.5. Oracle roept bedrijven op om de update zo snel mogelijk te installeren. Oracle geeft geen details over de waargenomen aanvallen of technische details over de kwetsbaarheid, behalve dat het beveiligingslek op afstand is te misbruiken, waarbij de aanvaller niet over een gebruikersnaam en wachtwoord hoeft te beschikken.