2025-0974: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software
Historie:
- Version 1 (2025-04-16 13:43)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Access Manager, Oracle Business Process Oracle Managed File und Oracle Managed File Transfer Transfer Management Suite, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Durch die Behebung der Schwachstellen CVE-2024-25710, CVE-2024-9143, CVE-2024-11053, CVE-2024-56337, CVE-2024-38476, CVE-2025-27363, CVE-2025-24970 und CVE-2020-25649 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2024-26308, CVE-2024-13176, CVE-2024-9681, CVE-2024-50379, CVE-2024-54677, CVE-2024-38474, CVE-2024-39573, CVE-2024-39884, CVE-2024-40725, CVE-2025-23022, CVE-2025-25193, CVE-2020-36518, CVE-2021-46877, CVE-2022-42003, CVE-2022-42004 und CVE-2023-35116 adressiert.
Oracle veröffentlicht mit dem Patchtag im April 2025 Sicherheitsupdates für die betroffenen Komponenten.
Schwachstellen:
CVE-2020-13936
Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-25649
Schwachstelle in jackson-databind ermöglicht XML-External-Entity-AngriffCVE-2023-26464
Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-AngriffCVE-2024-11053
Schwachstelle in curl und libcurl ermöglicht Ausspähen von InformationenCVE-2024-11612
Schwachstelle in p7zip ermöglicht Denial-of-Service-AngriffCVE-2024-25710
Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-AngriffCVE-2024-28168
Schwachstelle in Apache FOP und Apache XML Graphics Commons ermöglicht Ausspähen von InformationenCVE-2024-29857
Schwachstelle in Bouncy Castle ermöglicht Denial-of-Service-AngriffCVE-2024-38476
Schwachstelle in Apache httpd ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2024-40896
Schwachstelle in LibXML2 ermöglicht XML-External-Entity-AngriffCVE-2024-47072
Schwachstelle in XStream ermöglicht Denial-of-Service-AngriffCVE-2024-47554
Schwachstelle in Apache Commons IO ermöglicht Denial-of-Service-AngriffCVE-2024-47561
Schwachstelle in Apache Avro ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-50602
Schwachstelle in Expat ermöglicht Denial-of-Service-AngriffCVE-2024-52046
Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-56337
Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-7254
Schwachstelle in protobuf ermöglicht Denial-of-Service-AngriffCVE-2024-9143
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2025-23184
Schwachstelle in Apache CXF ermöglicht Denial-of-Service-AngriffCVE-2025-24970
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2025-27363
Schwachstelle in FreeType ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.