2026-1581: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2026-04-22 12:29)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Managed File Transfer, Oracle Tuxedo, Oracle Business Activity Monitoring und Oracle Outside In Technology, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Software vollständig zu kompromittieren, Dateien zu manipulieren, auf unsicher erzeugte temporäre Dateien zuzugreifen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2021-45046, CVE-2022-45047, CVE-2024-29857, CVE-2026-25210, CVE-2025-58098 und CVE-2025-46392 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2025-48924, CVE-2023-48795, CVE-2025-8885, CVE-2026-24515, CVE-2025-54090 und CVE-2025-48924 adressiert.

Oracle veröffentlicht mit dem Patchtag im April 2026 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2021-22573

Schwachstelle in google-oauth-client ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-45046

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-2976

Schwachstelle in Google Guava ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2024-13009

Schwachstelle in Jetty ermöglicht u. a. Manipulation von Daten

CVE-2024-29857

Schwachstelle in Bouncy Castle ermöglicht Denial-of-Service-Angriff

CVE-2024-31573

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-43394

Schwachstelle in Apache httpd ermöglicht Ausspähen von Informationen

CVE-2025-0725

Schwachstelle in curl und libcurl ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-12383

Schwachstelle in Oracle Database Server und Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2025-31672

Schwachstelle in JD Edwards EnterpriseOne Tools, Oracle Fusion Middleware und Oracle PeopleSoft ermöglicht Manipulation von Daten

CVE-2025-33042

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-35036

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-41249

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2025-41254

SpringSchwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2025-46392

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2025-48924

Schwachstelle in Apache Commons Lang ermöglicht Denial-of-Service-Angriff

CVE-2025-52999

Schwachstelle in Jackson JSON Processor ermöglicht Denial-of-Service-Angriff

CVE-2025-53864

Schwachstelle in Nimbus JOSE + JWT ermöglicht Denial-of-Service-Angriff

CVE-2025-58098

Schwachstelle in Apache httpd ermöglicht Privilegieneskalation

CVE-2025-59775

Schwachstelle in Apache httpd ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2025-65082

Schwachstelle in Apache httpd ermöglicht Privilegieneskalation

CVE-2025-68161

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

CVE-2025-68431

Schwachstelle in libheif ermöglicht Denial-of-Service-Angriff

CVE-2025-68615

Schwachstelle in Net-SNMP ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-8916

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2026-21939

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2026-22184

Schwachstelle in GNU zlib ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-25210

Schwachstelle in Expat ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-25646

Schwachstelle in libpng ermöglicht u. a. Denial-of-Service-Angriff

CVE-2026-34283

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2026-34284

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2026-34285 CVE-2026-34286 CVE-2026-34287

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von Daten

CVE-2026-34288

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2026-34289

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2026-34290

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2026-34291

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2026-34292

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2026-34294

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2026-34305

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2026-34315

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2026-35232

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2026-35243

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2026-35252

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.