A falha da Oracle é representada pelo CVE-2022-21587, de severidade crítica, que permitia a um atacante de forma não autenticada e acesso À rede comprometer o Oracle Web Applications Desktop Integrator.

A falha do SugarCRM, por sua vez, é representada pelo CVE-2023-22952, um caso de falha na validação do input, que resulta na possibilidade de injeção de código arbitrário em PHP

Versões corrigidas

Patch de outubro de 2022 da Oracle

SugarCRM 11.0.5 e 12.0.2

Pelo menos nos EUA, as empresas serão obrigadas a aplicar as correções devidas até 23 de fevereiro deste ano.

Oracle advisory: https://www.oracle.com/security-alerts/cpuoct2022.html

Advisory oficial do Sugar: https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2023-001/