پچ ژانویه ۲۰۲۵ اوراکل، ۳۱۸ نقص امنیتی را در محصولات این شرکت برطرف می‌کند!

اوراکل ۲۱ ژانویه ۲۰۲۵، به ‌روزرسانی امنیتی (CPU) ماه ژانویه سال جاری را برای رفع ۳۱۸ نقص امنیتی در بیش از ۹۰ محصول و سرویس خود منتشر کرد. این پچ شامل بروزرسانی برای محصولات مختلف از جمله Oracle Database، Fusion Middleware، MySQL، E-Business Suite، PeopleSoft و دیگر محصولات این شرکت می‌باشد.

بحرانی‌ترین آسیب پذیری شناسایی شده، یک نفص امنیتی (CVE-2025-21556، امتیاز CVSS: 9.9) در فریمورک  Oracle Agile PLM است که به مهاجم اجازه می‌دهد تا کنترل نمونه‌های حساس را در دست گیرد. این نقص امنیتی در کامپوننت Agile Integration Services نسخه 9.3.6 وجود دارد.

این آسیب‌ پذیری به دلیل عدم محدودسازی مناسب دسترسی‌ها در فریمورک Agile PLM اوراکل رخ می‌دهد. یک مهاجم با سطح دسترسی پایین و از طریق شبکه با استفاده از پروتکل HTTP می‌تواند به راحتی این آسیب ‌پذیری را مورد اکسپلویت قرار دهد و کنترل کامل این فریمورک را به دست آورد. این حمله می‌تواند تأثیرات قابل توجهی بر سایر محصولات مرتبط داشته باشد.

شایان ذکر است که اوراکل در نوامبر ۲۰۲۴ نسبت به تلاش‌های مداوم برای اکسپلویت آسیب پذیری دیگری در همان محصول (CVE-2024-21287، امتیاز CVSS: 7.5) هشدار داد. هر دو آسیب ‌پذیری در فریمورک  Oracle Agile PLM وجود دارند و نسخه 9.3.6  را تحت تأثیر قرار می‌دهند.
اوراکل اکیداً به مشتریان خود توصیه کرده است که پچ ژانویه ۲۰۲۵ را برای رفع آسیب پذیری بحرانی فریمورک Oracle Agile PLM اعمال کنند، چرا که شامل پچ CVE-2024-21287 و سایر آسیب پذیری‌ها می‌باشد.

آسیب پذیری‌های دیگری نیز با امتیاز 9.8 شناسایی و توسط Oracle به آنها پرداخته شده است که به شرح زیر هستند:

• CVE-2025-21524 – این آسیب ‌پذیری در JD Edwards EnterpriseOne Tools محصول Oracle JD Edwards  شناسایی شده است. این آسیب ‌پذیری در کامپوننت Monitoring and Diagnostics SEC وجود دارد و نسخه‌های پیش از 9.2.9.0 را تحت تأثیر قرار می‌دهد. این نقص امنیتی به مهاجمان اجازه می‌دهد تا بدون نیاز به احراز هویت و از طریق دسترسی شبکه‌ای HTTP، کنترل کاملی را بر روی JD Edwards EnterpriseOne Tools  به‌دست آورند.
• CVE-2023-3961 – یک آسیب پذیری در کامپوننت E1 Dev Platform Tech (Samba) ابزار JD Edwards EnterpriseOne است که به‌ عنوان یک آسیب ‌پذیری پیمایش مسیر (Path Traversal) دسته بندی می‌شود.
• CVE-2024-23807 – یک آسیب‌ پذیری در کامپوننت تجزیه‌گر XML Apache Xerces C++ در Oracle Agile Engineering Data Management می‌باشد که به‌ عنوان یک Use-After-Free در نسخه‌های 3.0.0 تا 3.2.4 طبقه‌بندی می‌شود. این آسیب‌ پذیری به دلیل استفاده از حافظه آزاد شده در هنگام اسکن DTDهای خارجی رخ می‌دهد. اکسپلویت این آسیب‌ پذیری می‌تواند منجر به رفتارهای پیش‌بینی‌نشده در برنامه شود.
• CVE-2023-46604 – یک آسیب پذیری در کامپوننت Apache ActiveMQ در روتر سیگنالینگ Diameter ارتباطات اوراکل (یک محصول تخصصی برای مدیریت و مسیریابی سیگنال‌های Diameter در شبکه‌های مخابراتی) است. این آسیب ‌پذیری به دلیل عدم محدودسازی مناسب داده‌های ورودی در پروتکل OpenWire رخ می‌دهد. مهاجم می‌تواند با دستکاری داده‌های سریال‌شده در این پروتکل، کد دلخواه را اجرا کند.
• CVE-2024-45492 – این آسیب ‌پذیری در نسخه پیش از 2.6.3 کتابخانه libexpat شناسایی شده است. این آسیب‌ پذیری در تابع nextScaffoldPart در فایل c  رخ می‌دهد، جایی که ممکن است یک سرریز عدد صحیح (Integer Overflow) برای متغیر m_groupSize  در پلتفرم‌های 32 بیتی (که در آن‌ها UINT_MAX  برابر با SIZE_MAX  است) رخ دهد. این سرریز عدد صحیح می‌تواند منجر به رفتارهای پیش‌بینی ‌نشده در برنامه‌هایی شود که از libexpat برای تجزیه XML استفاده می‌کنند. در نتیجه، مهاجمان می‌توانند از این نقص برای اجرای کد مخرب، افشای اطلاعات حساس یا ایجاد اختلال در دسترس‌پذیری سیستم سوءاستفاده کنند.
• CVE-2024-56337 – یک آسیب ‌پذیری بحرانی در Apache Tomcat در مدیریت خط مشی ارتباطات اوراکل است و به‌عنوان یک شرایط رقابتی (Race Condition) از نوع Time-of-check Time-of-use (TOCTOU) طبقه‌بندی می‌شود. سوء استفاده از این آسیب ‌پذیری می‌تواند منجر به اجرای کد از راه دورگردد. این آسیب‌ پذیری به دلیل شرایط رقابتی در هنگام بررسی حساسیت به حروف در سیستم‌فایل‌های حساس‌ناپذیر به حروف (case-insensitive file systems) و زمانی که سرویس‌دهنده پیش‌فرض با قابلیت نوشتن فعال است، رخ می‌دهد. این شرایط می‌تواند به مهاجمان اجازه دهد تا فایل‌های آپلود را به‌عنوان فایل‌های JSP ارسال و در نتیجه کد دلخواه را اجرا کنند.
• CVE-2025-21535 – این آسیب‌ پذیری در سرور WebLogic اوراکل شناسایی شده است و به مهاجمان اجازه می‌دهد تا بدون نیاز به احراز هویت و از طریق دسترسی شبکه‌ای از طریق پروتکل‌های T3 و IIOP، به Oracle WebLogic Server نفوذ کنند. مهاجم می‌تواند با اکسپلویت موفق این آسیب‌ پذیری، کنترل کامل سرور را به دست آورد.
• CVE-2016-1000027 – این آسیب‌ پذیری در کامپوننت فریمورک Spring شناسایی شده است و به دلیل عدم محدودسازی مناسب داده‌های ورودی در متد readRemoteInvocation در کلاس HttpInvokerServiceExporter  رخ می‌دهد. در نتیجه، مهاجمان می‌توانند با ارسال داده‌های دستکاری‌شده، کد دلخواه خود را از راه دور اجرا کنند.
• CVE-2023-29824 – یک آسیب پذیری در کامپوننت SciPy می‌باشد که به‌عنوان یک Use-After-Free در نسخه‌های پیش از 1.8.0 تابعPy_FindObjects() طبقه‌بندی می‌شود. این آسیب ‌پذیری به دلیل استفاده از حافظه آزاد شده در تابع Py_FindObjects() رخ می‌دهد که می‌تواند منجر به رفتارهای پیش‌بینی ‌نشده در برنامه شود. با این حال، توسعه‌دهندگان و فروشنده اعلام کرده‌اند که این باگ به‌عنوان یک مشکل امنیتی در نظر گرفته نمی‌شود.

CVE-2025-21535 مشابه CVE-2020-2883 است (امتیاز CVSS: 9.8)، یکی دیگر از آسیب پذیری‌های امنیتی بحرانی در سرور Oracle WebLogic که می‌تواند توسط یک مهاجم احراز هویت نشده با دسترسی به شبکه از طریق IIOP یا T3 مورد سوء استفاده قرار گیرد.

در اوایل ماه جاری، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) آسیب پذیری CVE-2020-2883 را به دلیل اکسپلویت فعال، به فهرست آسیب پذیری‌های شناخته شده خود (KEV) افزود.

آسیب ‌پذیری CVE-2024-37371 نیز در MIT Kerberos 5 (معروف به krb5) شناسایی شده است و به‌عنوان یک آسیب ‌پذیری خواندن حافظه نامعتبر (Invalid Memory Read) در هنگام پردازش توکن‌های پیام GSS طبقه‌بندی می‌شود و می‌تواند به مهاجم اجازه دهد با ارسال توکن‌های پیام با فیلدهای طول نامعتبر، باعث خواندن حافظه شود.
به کاربران توصیه می‌شود برای به روز نگه داشتن سیستم‌های خود و جلوگیری از خطرات امنیتی احتمالی، پچ‌های لازم را فورا اعمال کنند.

منابع