Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
UtiliaCS 970x120
Banner Ancharia Mobile 1
Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7

Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7

Redazione RHC : 22 Gennaio 2025 16:08

Oracle invita i clienti ad applicare il suo Critical Patch Update (CPU) di gennaio 2025 per risolvere 318 nuove vulnerabilità di sicurezza che interessano i suoi prodotti e servizi.

La falla più grave è un bug nell’Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, punteggio CVSS: 9,9) che potrebbe consentire a un aggressore di assumere il controllo di istanze vulnerabili.

Si tratta di “Una vulnerabilità facilmente sfruttabile consente ad aggressori con privilegi bassi con accesso alla rete tramite HTTP di compromettere Oracle Agile PLM Framework”, secondo una descrizione della falla di sicurezza nel NIST National Vulnerability Database (NVD).


RHC0002 CTIP Corso Dark Web Cyber Threat Intelligence

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Vale la pena notare che Oracle ha avvisato di tentativi di sfruttamento attivi contro un altro difetto nello stesso prodotto (CVE-2024-21287, punteggio CVSS: 7,5) a novembre 2024. Entrambe le vulnerabilità interessano Oracle Agile PLM Framework versione 9.3.6.

“Si consiglia vivamente ai clienti di applicare l’aggiornamento della patch critica di gennaio 2025 per Oracle Agile PLM Framework poiché include patch per [CVE-2024-21287] e patch aggiuntive”ha affermato Eric Maurice, vicepresidente di Security Assurance presso Oracle .

Di seguito sono riportati alcuni degli altri difetti di gravità critica, tutti valutati 9,8 nel punteggio CVSS, risolti da Oracle:

  • CVE-2025-21524 – Una vulnerabilità nel componente di Monitoraggio e diagnostica SEC di JD Edwards EnterpriseOne Tools
  • CVE-2023-3961 – Una vulnerabilità nel componente E1 Dev Platform Tech (Samba) di JD Edwards EnterpriseOne Tools
  • CVE-2024-23807 – Una vulnerabilità nel componente parser XML C++ di Apache Xerces di Oracle Agile Engineering Data Management
  • CVE-2023-46604 – Una vulnerabilità nel componente Apache ActiveMQ del router di segnalazione Diameter di Oracle Communications
  • CVE-2024-45492 – Una vulnerabilità nel componente XML parser (libexpat) di Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition e HTTP Server
  • CVE-2024-56337 – Una vulnerabilità nel componente server Apache Tomcat di Oracle Communications Policy Management
  • CVE-2025-21535 – Una vulnerabilità nel componente Core di Oracle WebLogic Server
  • CVE-2016-1000027 – Una vulnerabilità nel componente Spring Framework di Oracle BI Publisher
  • CVE-2023-29824 – Una vulnerabilità nel componente Analytics Server (SciPy) di Oracle Business Intelligence Enterprise Edition

Il CVE-2025-21535 è simile anche a CVE-2020-2883 (punteggio CVSS: 9,8), un’altra vulnerabilità di sicurezza critica in Oracle WebLogic Server che potrebbe essere sfruttata da un aggressore non autenticato con accesso alla rete tramite IIOP o T3.

All’inizio di questo mese, il Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto il CVE-2020-2883 al suo catalogo delle vulnerabilità note sfruttate (KEV), citando prove di sfruttamento attivo.

Il fornitore di servizi software ha inoltre rilasciato aggiornamenti per Oracle Linux con 285 nuove patch di sicurezza. Si consiglia agli utenti di applicare le correzioni necessarie per mantenere i propri sistemi aggiornati ed evitare potenziali rischi per la sicurezza.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Rilasciata FreeBSD 15.0: ecco le novità e i miglioramenti della nuova versione
Di Redazione RHC - 06/12/2025

Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...

Immagine del sito
React2Shell: due ore tra la pubblicazione dell’exploit e lo sfruttamento attivo
Di Redazione RHC - 06/12/2025

Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...

Immagine del sito
Cloudflare dichiara guerra a Google e alle AI. 416 miliardi di richieste di bot bloccate
Di Redazione RHC - 05/12/2025

Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...

Immagine del sito
React2Shell = Log4shell: 87.000 server in Italia a rischio compromissione
Di Redazione RHC - 05/12/2025

Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...

Immagine del sito
Cloudflare di nuovo in down: disservizi su Dashboard, API e ora anche sui Workers
Di Redazione RHC - 05/12/2025

Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...