本週Oracle修补产品生命週期管理（PLM）系统Agile的高风险漏洞CVE-2024-21287，值得留意的是，这项弱点已传出被用于攻击行动。

该公司先是发布资安公告，表示他们针对9.3.6版Agile PLM框架修补CVE-2024-21287，并指出攻击者无需通过身分验证，就能远端利用这项弱点，一旦成功利用，就有可能导致文件洩露，CVSS风险评为7.5分。

而在提交给美国国家漏洞资料库（NVD）的说明里，他们还提到这项漏洞相当容易利用，攻击者可透过HTTP连线入侵此生命週期管理系统，而且，若是成功利用漏洞，攻击者将能在未经授权的情况下，完整存取Agile所有能够存取的资料。

虽然在前述资安公告当中，Oracle并未进一步说明漏洞是否遭到利用，但该公司安全保证副总裁Eric Maurice透过部落格提出警告，资安业者CrowdStrike向他们通报此事时，已出现积极且广泛利用的现象，呼吁IT人员应儘速取得修补程序并套用。