Oracle dringt er bij klanten op aan om de Critical Patch Update (CPU) van januari 2025 toe te passen om 318 nieuwe beveiligingsproblemen in zijn producten en diensten aan te pakken.
De ernstigste fout is een bug in het Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, CVSS-score: 9,9), waardoor een aanvaller de controle over gevoelige instances kan overnemen.
“Een gemakkelijk te misbruiken kwetsbaarheid zorgt ervoor dat aanvallers met weinig privileges en netwerktoegang via HTTP het Oracle Agile PLM Framework kunnen compromitteren”, aldus een beschrijving van het beveiligingslek in de NIST National Vulnerability Database (NVD).
Het is vermeldenswaard dat Oracle in november 2024 waarschuwde voor actieve exploitatiepogingen tegen een andere fout in hetzelfde product (CVE-2024-21287, CVSS-score: 7,5). Beide kwetsbaarheden zijn van invloed op Oracle Agile PLM Framework versie 9.3.6.
“Klanten wordt sterk aangeraden om de Critical Patch Update voor Oracle Agile PLM Framework van januari 2025 toe te passen, aangezien deze zowel patches voor (CVE-2024-21287) als aanvullende patches bevat”, aldus Eric Maurice, vice-president van Security Assurance bij Oracle.
Enkele van de andere kritieke tekortkomingen, allemaal beoordeeld met een 9,8 op de CVSS-score, die door Oracle zijn aangepakt, zijn als volgt:
- CVE-2025-21524 – Een kwetsbaarheid in de Monitoring and Diagnostics SEC-component van JD Edwards EnterpriseOne Tools
- CVE-2023-3961 – Een kwetsbaarheid in de E1 Dev Platform Tech (Samba)-component van JD Edwards EnterpriseOne Tools
- CVE-2024-23807 – Een kwetsbaarheid in de Apache Xerces C++ XML-parsercomponent van Oracle Agile Engineering Data Management
- CVE-2023-46604 – Een kwetsbaarheid in de Apache ActiveMQ-component van de Oracle Communications Diameter Signaling Router
- CVE-2024-45492 – Een kwetsbaarheid in de XML-parser (libexpat)-component van Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition en HTTP Server
- CVE-2024-56337 – Een kwetsbaarheid in de Apache Tomcat-servercomponent van Oracle Communications Policy Management
- CVE-2025-21535 – Een kwetsbaarheid in de kerncomponent van Oracle WebLogic Server
- CVE-2016-1000027 – Een kwetsbaarheid in de Spring Framework-component van Oracle BI Publisher
- CVE-2023-29824 – Een kwetsbaarheid in de Analytics Server (SciPy)-component van Oracle Business Intelligence Enterprise Edition
CVE-2025-21535 is ook vergelijkbaar met CVE-2020-2883 (CVSS-score: 9,8), een ander kritiek beveiligingsprobleem in Oracle WebLogic Server dat kan worden uitgebuit door een niet-geverifieerde aanvaller met netwerktoegang via IIOP of T3.
Eerder deze maand heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2020-2883 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie in het wild.
Ook CVE-2024-37371 (CVSS-score: 9,1) wordt door Oracle aangepakt, een kritieke Kerberos 5-fout die invloed heeft op de communicatie-facturering en het inkomstenbeheer, waardoor een aanvaller “ongeldige geheugenlezingen kan veroorzaken door berichttokens met velden met een ongeldige lengte te verzenden.”
De softwareserviceprovider heeft bovendien updates voor Oracle Linux uitgebracht met 285 nieuwe beveiligingspatches. Gebruikers wordt geadviseerd de nodige oplossingen aan te brengen om hun systemen up-to-date te houden en potentiĆ«le veiligheidsrisico’s te vermijden.