2025-0975: JD Edwards EnterpriseOne Tools: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-16 13:25): Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt im Rahmen des Patchtags im April 2025 ein Sicherheitsupdate für die JD Edwards EnterpriseOne Tools Versionen 9.2.0.0 bis 9.2.9.2 bereit, um die Schwachstellen zu beheben.

Mit der Behebung der Schwachstellen CVE-2024-25710 und CVE-2024-5535 werden auch die Schwachstellen CVE-2024-26308 und CVE-2024-6119 adressiert.

Schwachstellen:

CVE-2024-23807

Schwachstelle in Xerces-C Ausführen beliebigen Programmcodes

CVE-2024-25710

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2024-45613

Schwachstelle in CKEditor und Oracle JD Edwards ermöglicht u. a. Manipulation von Daten

CVE-2024-47554

Schwachstelle in Apache Commons IO ermöglicht Denial-of-Service-Angriff

CVE-2024-5535

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-21586

Schwachstelle in Oracle JD Edwards ermöglicht u. a. Manipulation von Daten

CVE-2025-30709