Oracle Critical Patch Update ottobre 2025: 374 vulnerabilità corrette

Oracle ha pubblicato il nuovo aggiornamento di sicurezza trimestrale, il Critical Patch Update di ottobre 2025, che corregge 374 vulnerabilità individuate in numerosi prodotti dell’azienda. Si tratta di uno dei pacchetti più ampi degli ultimi anni, con correzioni che spaziano dai database ai middleware, fino alle applicazioni aziendali e ai sistemi di comunicazione.

Come di consueto, Oracle raccomanda ai clienti di applicare le patch senza ritardi, poiché molte delle vulnerabilità corrette possono essere sfruttate da remoto, anche senza autenticazione. Questo rende l’aggiornamento particolarmente urgente per tutte le organizzazioni che utilizzano infrastrutture Oracle in ambienti critici.

Un aggiornamento che tocca gran parte dell’ecosistema Oracle

Il bollettino di ottobre copre una lunga lista di prodotti, tra cui:

• Oracle Database nelle versioni 19, 21 e 23
• Oracle WebLogic Server e Fusion Middleware
• Oracle Enterprise Manager
• MySQL Server, Cluster, Workbench, Shell ed Enterprise Backup
• Oracle E-Business Suite
• Oracle Communications Applications, che da sola riceve 46 correzioni di sicurezza
• Oracle GoldenGate, Essbase, Graph Server e Client, REST Data Services e molti altri componenti

In diversi casi, le vulnerabilità risolte sono considerate critiche, poiché consentono a un attaccante di eseguire codice da remoto senza dover disporre di credenziali valide. Questo tipo di falle rappresenta una delle minacce più pericolose per le infrastrutture esposte in rete.

Valutazione del rischio e gravità

Le vulnerabilità sono state valutate secondo il sistema CVSS versione 3.1, che tiene conto dell’impatto su confidenzialità, integrità e disponibilità dei sistemi. In alcuni casi, il punteggio raggiunge i livelli più alti della scala, indicando la possibilità di compromissione completa di un servizio se non aggiornato.

Oracle sottolinea che alcune vulnerabilità possono interessare anche installazioni “solo client”, come nel caso di moduli che si connettono a server vulnerabili. Questo significa che persino le postazioni che non ospitano un database o un servizio principale possono essere esposte.

Delle gravi vulnerabilità sono state rilasciate su Oracle Marketing product of Oracle E-Business Suite e sono: CVE-2025-62481, CVE-2025-10916, CVE-2025-53072 e CVE-2025-53037 tutte con score 9,8.

Le raccomandazioni di Oracle

L’azienda invita tutti i clienti a installare immediatamente le patch su tutte le versioni ancora supportate, comprese quelle in Extended Support. Chi utilizza versioni non più coperte da aggiornamenti di sicurezza è invece invitato a pianificare il prima possibile una migrazione verso release supportate.

In attesa dell’applicazione completa delle patch, Oracle suggerisce alcune misure temporanee di mitigazione, come la limitazione dell’accesso alle porte di rete coinvolte, la riduzione dei privilegi utente e il blocco dei moduli non essenziali. Tuttavia, l’azienda precisa che queste contromisure non sostituiscono l’aggiornamento e possono solo ridurre parzialmente il rischio.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione