Oracle insta a los clientes a aplicar su actualización de parche crítico (CPU) de enero de 2025 para abordar 318 nuevas vulnerabilidades de seguridad que abarcan sus productos y servicios.
La más grave de las fallas es un error en el marco Oracle Agile Product Lifecycle Management (PLM) (CVE-2025-21556, puntuación CVSS: 9,9) que podría permitir a un atacante tomar el control de instancias susceptibles.
«Esta vulnerabilidad fácilmente explotable permite a atacantes con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Agile PLM Framework», según una descripción del agujero de seguridad en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.
Vale la pena señalar que Oracle advirtió sobre intentos de explotación activa contra otra falla en el mismo producto (CVE-2024-21287, puntuación CVSS: 7,5) en noviembre de 2024. Ambas vulnerabilidades afectan a Oracle Agile PLM Framework versión 9.3.6.
«Se recomienda encarecidamente a los clientes que apliquen la actualización de parche crítico de enero de 2025 para Oracle Agile PLM Framework, ya que incluye parches para [CVE-2024-21287], así como parches adicionales», afirmó Eric Maurice, vicepresidente de Garantía de Seguridad de Oracle .
Algunas de las otras fallas de gravedad críticas, todas calificadas con 9,8 en el puntaje CVSS, abordadas por Oracle son las siguientes:
- CVE-2025-21524 : una vulnerabilidad en el componente de monitoreo y diagnóstico SEC de JD Edwards EnterpriseOne Tools
- CVE-2023-3961 : una vulnerabilidad en el componente E1 Dev Platform Tech (Samba) de JD Edwards EnterpriseOne Tools
- CVE-2024-23807 : una vulnerabilidad en el componente analizador XML de Apache Xerces C++ de Oracle Agile Engineering Data Management
- CVE-2023-46604 : una vulnerabilidad en el componente Apache ActiveMQ del enrutador de señalización Diameter de Oracle Communications
- CVE-2024-45492 : una vulnerabilidad en el componente analizador XML (libexpat) de Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition y HTTP Server
- CVE-2024-56337 : una vulnerabilidad en el componente de servidor Apache Tomcat de Oracle Communications Policy Management
- CVE-2025-21535 : una vulnerabilidad en el componente principal de Oracle WebLogic Server
- CVE-2016-1000027 : una vulnerabilidad en el componente Spring Framework de Oracle BI Publisher
- CVE-2023-29824 : una vulnerabilidad en el componente Analytics Server (SciPy) de Oracle Business Intelligence Enterprise Edition
CVE-2025-21535 también es similar a CVE-2020-2883 (puntaje CVSS: 9.8), otra vulnerabilidad de seguridad crítica en Oracle WebLogic Server que podría ser explotada por un atacante no autenticado con acceso a la red a través de IIOP o T3.
A principios de este mes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó CVE-2020-2883 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Oracle también abordó CVE-2024-37371 (puntaje CVSS: 9.1), una falla crítica de Kerberos 5 que afecta a su gestión de ingresos y facturación de comunicaciones que podría permitir a un atacante «provocar lecturas de memoria no válidas al enviar tokens de mensajes con campos de longitud no válidos».
El proveedor de servicios de software también ha publicado actualizaciones para Oracle Linux con 285 nuevos parches de seguridad. Se recomienda a los usuarios que apliquen las correcciones necesarias para mantener sus sistemas actualizados y evitar posibles riesgos de seguridad.