Oracle از مشتریان خواست که بهروزرسانی پچ بحرانی (CPU) ژانویه 2025 را برای رفع 318 آسیبپذیری جدید در محصولات و سرویسهای خود اعمال کنند.
شدیدترین نقص با شناسه CVE-2025-21556، امتیاز CVSS: 9.9 در چارچوب Oracle Agile Product Management Cycle Management (PLM) است که به مهاجم اجازه میدهد تا کنترل نمونههای آسیبپذیر را در دست بگیرد. طبق توضیحات NIST (NVD)، آسیبپذیری بهراحتی قابل بهرهبرداری بوده و به مهاجمان دارای سطح دسترسی کم با دسترسی به شبکه از طریق HTTP اجازه میدهد تا چارچوب Oracle Agile PLM را در معرض خطر قرار دهند. شایان ذکر است که Oracle در نوامبر 2024 نسبت به تلاشهای اکسپلویت فعال در برابر نقص دیگری در همان محصول (CVE-2024-21287، امتیاز CVSS: 7.5) در نوامبر 2024 هشدار داد. هر دو آسیبپذیری Oracle Agile PLM Framework نسخه 9.3.6 را تحت تأثیر قرار میدهند.
برخی از نقصهای مهم دیگر که همگی دارای امتیاز 9.8 هستند و توسط Oracle برطرف شدهاند، به شرح زیر است:
- CVE-2025-21535: آسیبپذیری در مؤلفه اصلی Oracle WebLogic Server که مشابه آسیبپذیری حیاتی در سرور Oracle WebLogic با شناسه CVE-2020-2883 و امتیاز 8.CVSS: 9، میتواند توسط مهاجم احراز هویت نشده با دسترسی به شبکه از طریق IIOP یا T3 مورد سوء استفاده قرار گیرد.
- CVE-2024-45492: آسیبپذیری در مؤلفه تجزیهکننده XML (libexpat) مدیر دادههای تجزیه و تحلیل شبکه ارتباطات اوراکل، پلتفرم تشخیص رفتار خدمات مالی
- CVE-2024-23807: آسیبپذیری در مؤلفه تجزیهکننده Apache Xerces C++ XML در Oracle Agile Engineering Data Management
- CVE-2023-46604: آسیبپذیری در مؤلفه Apache ActiveMQ در Oracle Communications Diameter Signaling Router
- CVE-2023-29824: آسیبپذیری در مؤلفه Analytics Server (SciPy) Oracle Business Intelligence Enterprise Edition
- CVE-2025-21524: آسیبپذیری در مؤلفه Monitoring and Diagnostics SEC JD Edwards EnterpriseOne Tools
- CVE-2023-3961: آسیبپذیری در مؤلفه E1 Dev Platform Tech (Samba) ابزار JD Edwards EnterpriseOne
- CVE-2024-56337: آسیبپذیری در مؤلفه سرور Apache Tomcat در مدیریت سیاست ارتباطات اوراکل
- CVE-2016-1000027: آسیبپذیری مولفه Spring Framework در Oracle BI Publisher
https://thehackernews.com/2025/01/oracle-releases-january-2025-patch-to.html
