Oracle Critical Patch Update ottobre 2025: 374 vulnerabilità corrette

Redazione RHC : 22 Ottobre 2025 09:06

Oracle ha pubblicato il nuovo aggiornamento di sicurezza trimestrale, il Critical Patch Update di ottobre 2025, che corregge 374 vulnerabilità individuate in numerosi prodotti dell’azienda. Si tratta di uno dei pacchetti più ampi degli ultimi anni, con correzioni che spaziano dai database ai middleware, fino alle applicazioni aziendali e ai sistemi di comunicazione.

Come di consueto, Oracle raccomanda ai clienti di applicare le patch senza ritardi, poiché molte delle vulnerabilità corrette possono essere sfruttate da remoto, anche senza autenticazione. Questo rende l’aggiornamento particolarmente urgente per tutte le organizzazioni che utilizzano infrastrutture Oracle in ambienti critici.

Un aggiornamento che tocca gran parte dell’ecosistema Oracle

Il bollettino di ottobre copre una lunga lista di prodotti, tra cui:

• Oracle Database nelle versioni 19, 21 e 23
• Oracle WebLogic Server e Fusion Middleware
• Oracle Enterprise Manager
• MySQL Server, Cluster, Workbench, Shell ed Enterprise Backup
• Oracle E-Business Suite
• Oracle Communications Applications, che da sola riceve 46 correzioni di sicurezza
• Oracle GoldenGate, Essbase, Graph Server e Client, REST Data Services e molti altri componenti

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In diversi casi, le vulnerabilità risolte sono considerate critiche, poiché consentono a un attaccante di eseguire codice da remoto senza dover disporre di credenziali valide. Questo tipo di falle rappresenta una delle minacce più pericolose per le infrastrutture esposte in rete.

Valutazione del rischio e gravità

Le vulnerabilità sono state valutate secondo il sistema CVSS versione 3.1, che tiene conto dell’impatto su confidenzialità, integrità e disponibilità dei sistemi. In alcuni casi, il punteggio raggiunge i livelli più alti della scala, indicando la possibilità di compromissione completa di un servizio se non aggiornato.

Oracle sottolinea che alcune vulnerabilità possono interessare anche installazioni “solo client”, come nel caso di moduli che si connettono a server vulnerabili. Questo significa che persino le postazioni che non ospitano un database o un servizio principale possono essere esposte.

Delle gravi vulnerabilità sono state rilasciate su Oracle Marketing product of Oracle E-Business Suite e sono: CVE-2025-62481, CVE-2025-10916, CVE-2025-53072 e CVE-2025-53037 tutte con score 9,8.

Le raccomandazioni di Oracle

L’azienda invita tutti i clienti a installare immediatamente le patch su tutte le versioni ancora supportate, comprese quelle in Extended Support. Chi utilizza versioni non più coperte da aggiornamenti di sicurezza è invece invitato a pianificare il prima possibile una migrazione verso release supportate.

In attesa dell’applicazione completa delle patch, Oracle suggerisce alcune misure temporanee di mitigazione, come la limitazione dell’accesso alle porte di rete coinvolte, la riduzione dei privilegi utente e il blocco dei moduli non essenziali. Tuttavia, l’azienda precisa che queste contromisure non sostituiscono l’aggiornamento e possono solo ridurre parzialmente il rischio.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli