2025-1900: GraalVM, GraalVM for JDK: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2025-07-16 14:17): Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle informiert im Rahmen des Patchtags im Juli 2025 über die Schwachstellen in der Oracle GraalVM Enterprise Edition Version 21.3.14 sowie in den Oracle GraalVM for JDK Versionen 17.0.15, 21.0.7 und 24.0.1. Diese werden durch die Sicherheitsupdates Oracle GraalVM Enterprise Edition 21.3.15 sowie Oracle GraalVM for JDK 17.0.16, 21.0.8 und 24.0.2 behoben.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2025-23166

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2025-30749

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht komplette Kompromittierung der Software

CVE-2025-30752

Schwachstelle in Oracle Java SE und GraalVM for JDK ermöglicht Denial-of-Service-Angriff

CVE-2025-30754

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht u. a. Manipulation von Daten

CVE-2025-30761

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht Manipulation von Daten

CVE-2025-50059

Schwachstelle in Oracle Java SE, GraalVM und GraalVM for JDK ermöglicht Ausspähen von Informationen

CVE-2025-50065

Schwachstelle in GraalVM for JDK ermöglicht Denial-of-Service-Angriff

CVE-2025-50106