Ciberseguridad 360 | Oracle corrige 318 vulnerabilidades en sus principales productos

Oracle insta a sus clientes a aplicar su actualizaci�n de parches cr�ticos (CPU) de enero de 2025 para solucionar 318 nuevas vulnerabilidades de seguridad que afectan a sus productos y servicios.

El m�s grave de los fallos es un error en Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, puntuaci�n CVSS: 9,9) que podr�a permitir a un atacante hacerse con el control de instancias susceptibles.

"Una vulnerabilidad f�cilmente explotable permite a los atacantes con pocos privilegios y acceso a la red a trav�s de HTTP poner en peligro Oracle Agile PLM Framework", seg�n una descripci�n del agujero de seguridad en la base de datos nacional de vulnerabilidades (NVD) del NIST.

Cabe se�alar que Oracle advirti� de intentos activos de explotaci�n de otro fallo en el mismo producto (CVE-2024-21287, puntuaci�n CVSS: 7,5) en noviembre de 2024. Ambas vulnerabilidades afectan a la versi�n 9.3.6 de Oracle Agile PLM Framework.

"Se recomienda encarecidamente a los clientes que apliquen la actualizaci�n de parches cr�ticos de enero de 2025 para Oracle Agile PLM Framework, ya que incluye parches para [CVE-2024-21287], as� como parches adicionales", declar� Eric Maurice, vicepresidente de Security Assurance de Oracle.

Algunos de los dem�s fallos de gravedad cr�tica, todos ellos calificados con un 9,8 en la puntuaci�n CVSS, abordados por Oracle son los siguientes:

CVE-2025-21524: Una vulnerabilidad en el componente Monitoring and Diagnostics SEC de JD Edwards EnterpriseOne Tools.

CVE-2023-3961: Una vulnerabilidad en el componente E1 Dev Platform Tech (Samba) de JD Edwards EnterpriseOne Tools.

CVE-2024-23807: Una vulnerabilidad en el componente Apache Xerces C++ XML parser de Oracle Agile Engineering Data Management.

CVE-2023-46604: Una vulnerabilidad en el componente Apache ActiveMQ de Oracle Communications Diameter Signaling Router.

CVE-2024-45492: Vulnerabilidad en el componente analizador XML (libexpat) de Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition y HTTP Server.

CVE-2024-56337: Una vulnerabilidad en el componente de servidor Apache Tomcat de Oracle Communications Policy Management.

CVE-2025-21535: Una vulnerabilidad en el componente Core de Oracle WebLogic Server.

CVE-2016-1000027: Una vulnerabilidad en el componente Spring Framework de Oracle BI Publisher.

CVE-2023-29824: Una vulnerabilidad en el componente Analytics Server (SciPy) de Oracle Business Intelligence Enterprise Edition

CVE-2025-21535 tambi�n es similar a CVE-2020-2883 (puntuaci�n CVSS: 9,8), otra vulnerabilidad de seguridad cr�tica en Oracle WebLogic Server que podr�a ser explotada por un atacante no autenticado con acceso a la red a trav�s de IIOP o T3.

A principios de este mes, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) a�adi� CVE-2020-2883 a su cat�logo de vulnerabilidades explotadas conocidas (KEV), citando pruebas de explotaci�n activa.

Oracle tambi�n se ha ocupado de CVE-2024-37371 (puntuaci�n CVSS: 9,1), un fallo cr�tico de Kerberos 5 que afecta a su Communications Billing and Revenue Management y que podr�a permitir a un atacante "provocar lecturas de memoria no v�lidas enviando tokens de mensajes con campos de longitud no v�lida".

El proveedor de servicios de software ha publicado adem�s actualizaciones de Oracle Linux con 285 nuevos parches de seguridad. Se recomienda a los usuarios que apliquen las correcciones necesarias para mantener sus sistemas actualizados y evitar posibles riesgos de seguridad.

Fuente: thehackernews