Oracle敦促用户尽快应用2025年1月的关键补丁更新(CPU),以修复其产品和服务中的318个安全漏洞。
最严重的漏洞是Oracle Agile产品生命周期管理(PLM)框架中的一个高危漏洞(CVE-2025-21556,CVSS评分:9.9),该漏洞允许攻击者接管易受攻击的实例。据NIST国家漏洞数据库(NVD)描述,这是一个易于利用的漏洞,攻击者可通过HTTP以低权限网络访问破坏Oracle Agile PLM框架。值得注意的是,Oracle在2024年11月警告称,同一产品中的另一个漏洞(CVE-2024-21287,CVSS评分:7.5)正被积极利用。两者均影响Oracle Agile PLM框架9.3.6版本。
Oracle安全保障副总裁Eric Maurice表示:“我们强烈建议用户为Oracle Agile PLM框架应用2025年1月的关键补丁更新,因为它不仅修复了CVE-2024-21287,还包含其他补丁。”
其他同样严重的漏洞(CVSS评分:9.8)包括:
- CVE-2025-21524:JD Edwards EnterpriseOne Tools的监控与诊断SEC组件漏洞
- CVE-2023-3961:JD Edwards EnterpriseOne Tools的E1开发平台技术(Samba)组件漏洞
- CVE-2024-23807:Oracle Agile工程数据管理的Apache Xerces C++ XML解析器组件漏洞
- CVE-2023-46604:Oracle通信直径信令路由器的Apache ActiveMQ组件漏洞
- CVE-2024-45492:多个产品(包括Oracle通信网络分析数据总监和HTTP服务器)的XML解析器(libexpat)组件漏洞
- CVE-2024-56337:Oracle通信策略管理的Apache Tomcat服务器组件漏洞
- CVE-2025-21535:Oracle WebLogic服务器核心组件漏洞
- CVE-2016-1000027:Oracle BI Publisher的Spring Framework组件漏洞
- CVE-2023-29824:Oracle商业智能企业版的分析服务器(SciPy)组件漏洞
特别是CVE-2025-21535,与CVE-2020-2883(CVSS评分:9.8)相似,后者是Oracle WebLogic服务器中的一个关键安全漏洞,攻击者可通过IIOP或T3网络访问进行未经身份验证的攻击。本月,美国网络安全与基础设施安全局(CISA)将CVE-2020-2883添加到其已知被利用漏洞目录(KEV),并指出其已在野外被积极利用。
此外,Oracle还修复了影响其通信计费和收入管理产品的关键漏洞CVE-2024-37371(CVSS评分:9.1),该漏洞可能导致攻击者通过发送带有无效长度字段的消息令牌引发内存读取错误。
Oracle还发布了针对Oracle Linux的更新,包含285个新安全补丁。用户被建议及时应用相关修复以保持系统安全,避免潜在的安全风险。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容