2026-0205: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2026-01-21 12:26)

Neues Advisory

Betroffene Software

Datensicherung
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Business Process Management Suite, Oracle Middleware Common Libraries and Tools, Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in, Oracle Data Integrator, Oracle Fusion Middleware, Oracle Outside In Technology und Oracle Access Manager, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen XML-External-Entity (XXE)-Angriff durchzuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2024-13009, CVE-2025-54571, CVE-2025-66516, CVE-2024-47252, CVE-2025-43967, CVE-2025-49796 und CVE-2022-41342 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2024-6763, CVE-2025-47947, CVE-2025-48866, CVE-2025-52891, CVE-2025-54988, CVE-2025-49812, CVE-2025-43966, CVE-2025-49794, CVE-2025-49795 und CVE-2022-40196 adressiert.

Oracle veröffentlicht mit dem Patchtag im Januar 2026 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2021-45105

Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-Angriff

CVE-2022-41342

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2024-13009

Schwachstelle in Jetty ermöglicht u. a. Manipulation von Daten

CVE-2024-42516

Schwachstelle in Apache httpd ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-43204

Schwachstelle in Apache httpd ermöglicht Ausspähen von Informationen

CVE-2024-47252

Schwachstelle in Apache httpd ermöglicht Darstellen falscher Informationen

CVE-2024-47554

Schwachstelle in Apache Commons IO ermöglicht Denial-of-Service-Angriff

CVE-2024-56406

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-12383

Schwachstelle in Oracle Database Server und Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2025-23048

Schwachstelle in Apache httpd ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-26333

Schwachstelle in JD Edwards EnterpriseOne Tools, Oracle Fusion Middleware und Oracle Security Services ermöglicht Ausspähen von Informationen

CVE-2025-31672

Schwachstelle in JD Edwards EnterpriseOne Tools, Oracle Fusion Middleware und Oracle PeopleSoft ermöglicht Manipulation von Daten

CVE-2025-41248

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-41249

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2025-43967

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2025-48924

Schwachstelle in Apache Commons Lang ermöglicht Denial-of-Service-Angriff

CVE-2025-48976

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2025-4949

Schwachstelle in Eclipse JGit ermöglicht u. a. Ausspähen von Informationen

CVE-2025-49796

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-5115

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2025-53864

Schwachstelle in Nimbus JOSE + JWT ermöglicht Denial-of-Service-Angriff

CVE-2025-54571

Schwachstelle in ModSecurity ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2025-54874

Schwachstelle in OpenJPEG ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-54988

Schwachstelle in Apache Tika ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-55163

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2025-59375

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2025-66516

Schwachstelle in Apache Tika ermöglicht u. a. XML-External-Entity (XXE)-Angriff

CVE-2026-21962

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.