安全公告編號:CNTA-2025-0001
2025年1月21日,Oracle發(fā)布了2025年1月份的安全更新,修復(fù)了其多款產(chǎn)品存在的318個安全漏洞。受影響的產(chǎn)品包括:Oracle Database Server數(shù)據(jù)庫(5個)、Oracle Application Express(1個)、Oracle GoldenGate(2個)、Oracle REST Data Services(1個)、Oracle Secure Backup(1個)、Oracle Commerce(1個)、Oracle Communications Applications(28個)、Oracle Communications(85個)、Oracle Construction and Engineering(4個)、電子商務(wù)套裝軟件Oracle E-Business Suite(4個)、Oracle Enterprise Manager(3個)、Oracle Financial Services Applications(31個)、中間件產(chǎn)品Fusion Middleware(22個)、Oracle Analytics(26個)、Oracle Health Sciences Applications(2個)、Oracle Hospitality Applications(1個)、Oracle Hyperion(2個)、Oracle Java SE(2個)、Oracle JD Edwards(23個)、Oracle MySQL數(shù)據(jù)庫(39個)、Oracle PeopleSoft(16個)、Oracle Retail Applications(2個)、Oracle Siebel CRM(2個)、Oracle Supply Chain(6個)、Oracle Systems(1個)、Oracle Utilities Applications(6個)和Oracle Virtualization(2個)。
本次安全更新涉及的漏洞中,共包括133個高危漏洞,272個可被遠(yuǎn)程利用漏洞。CNVD提醒廣大Oracle用戶,請及時下載補丁更新,避免引發(fā)漏洞相關(guān)的安全事件。
CVE編號 | 公告標(biāo)題和摘要 | 最高嚴(yán)重等級 | 受影響的軟件 |
CVE-2025-21535 | Oracle WebLogic Server T3/IIOP命令執(zhí)行漏洞 未經(jīng)身份驗證的攻擊者可以通過T3或IIOP協(xié)議通過網(wǎng)絡(luò)訪問來破壞 Oracle WebLogic Server。成功的攻擊可能導(dǎo)致攻擊者完全接管Oracle WebLogic Server。 | 嚴(yán)重 | Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 |
CVE-2025-21521 | Oracle MySQL Server Thread Pooling拒絕服務(wù)漏洞 攻擊者可以通過網(wǎng)絡(luò)利用該漏洞,無需身份驗證或用戶交互。成功利用該漏洞可能導(dǎo)致MySQL Server掛起或頻繁崩潰,從而完全拒絕服務(wù)。 | 重要 | Oracle MySQL Server <=8.0.39 Oracle MySQL Server <=8.4.2 Oracle MySQL Server<=9.0.1 |