A Oracle está instando seus clientes a aplicarem sua Atualização Crítica de Patch (CPU) de janeiro de 2025 para endereçar 318 novas vulnerabilidades de segurança que abrangem seus produtos e serviços.
A falha mais grave é um bug no Oracle Agile Product Lifecycle Management (PLM) Framework (
CVE-2025-21556
, pontuação CVSS: 9.9) que poderia permitir a um atacante tomar controle de instâncias suscetíveis.
"Vulnerabilidade facilmente explorável permite a atacantes de baixo privilégio com acesso à rede via HTTP comprometer o Oracle Agile PLM Framework", de acordo com a descrição da brecha de segurança no NIST National Vulnerability Database (NVD).
É digno de nota que a Oracle alertou sobre tentativas de exploração ativa contra outra falha no mesmo produto (
CVE-2024-21287
, pontuação CVSS: 7.5) em novembro de 2024.
Ambas as vulnerabilidades afetam a versão 9.3.6 do Oracle Agile PLM Framework.
"Aconselha-se fortemente aos clientes que apliquem a Atualização Crítica de Patch de janeiro de 2025 para o Oracle Agile PLM Framework, pois ela inclui patches para [
CVE-2024-21287
] bem como patches adicionais," disse Eric Maurice, vice-presidente de Garantia de Segurança na Oracle.
Algumas das outras falhas de severidade crítica, todas avaliadas com pontuação 9.8 no CVSS, tratadas pela Oracle são as seguintes:
-
CVE-2025-21524
- Uma vulnerabilidade no componente SEC de Monitoramento e Diagnóstico das Ferramentas JD Edwards EnterpriseOne
-
CVE-2023-3961
- Uma vulnerabilidade no componente E1 Dev Platform Tech (Samba) das Ferramentas JD Edwards EnterpriseOne
-
CVE-2024-23807
- Uma vulnerabilidade no componente de parser XML Apache Xerces C++ do Gerenciamento de Dados de Engenharia Ágil da Oracle
-
CVE-2023-46604
- Uma vulnerabilidade no componente Apache ActiveMQ do Router de Sinalização de Diâmetro de Comunicações da Oracle
-
CVE-2024-45492
- Uma vulnerabilidade no componente de parser XML (libexpat) do Diretor de Dados de Análise de Rede de Comunicações da Oracle, Plataforma de Detecção de Comportamento de Serviços Financeiros, Edição Enterprise de Antilavagem de Dinheiro Baseada em Comércio de Serviços Financeiros e Servidor HTTP
-
CVE-2024-56337
- Uma vulnerabilidade no componente de servidor Apache Tomcat do Gerenciamento de Políticas de Comunicações da Oracle
-
CVE-2025-21535
- Uma vulnerabilidade no componente Core do Oracle WebLogic Server
-
CVE-2016-1000027
- Uma vulnerabilidade no componente Spring Framework do Oracle BI Publisher
CVE-2023-29824
- Uma vulnerabilidade no componente Servidor de Análise (SciPy) do Oracle Business Intelligence Enterprise Edition
A
CVE-2025-21535
é também similar à
CVE-2020-2883
(pontuação CVSS: 9.8), outra vulnerabilidade de segurança crítica no Oracle WebLogic Server que poderia ser explorada por um atacante não autenticado com acesso à rede via IIOP ou T3.
No início deste mês, a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) adicionou a
CVE-2020-2883
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa na prática.
Também tratada pela Oracle é a
CVE-2024-37371
(pontuação CVSS: 9.1), uma falha crítica no Kerberos 5 que afeta seu Gerenciamento de Faturamento e Receita de Comunicações, que poderia permitir a um atacante "causar leituras de memória inválida ao enviar tokens de mensagem com campos de comprimento inválidos."
Aconselha-se aos usuários que apliquem os patches necessários para manter seus sistemas atualizados e evitar riscos de segurança potenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...