Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7

Redazione RHC : 22 Gennaio 2025 16:08

Oracle invita i clienti ad applicare il suo Critical Patch Update (CPU) di gennaio 2025 per risolvere 318 nuove vulnerabilità di sicurezza che interessano i suoi prodotti e servizi.

La falla più grave è un bug nell’Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, punteggio CVSS: 9,9) che potrebbe consentire a un aggressore di assumere il controllo di istanze vulnerabili.

Si tratta di “Una vulnerabilità facilmente sfruttabile consente ad aggressori con privilegi bassi con accesso alla rete tramite HTTP di compromettere Oracle Agile PLM Framework”, secondo una descrizione della falla di sicurezza nel NIST National Vulnerability Database (NVD).


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Vale la pena notare che Oracle ha avvisato di tentativi di sfruttamento attivi contro un altro difetto nello stesso prodotto (CVE-2024-21287, punteggio CVSS: 7,5) a novembre 2024. Entrambe le vulnerabilità interessano Oracle Agile PLM Framework versione 9.3.6.

“Si consiglia vivamente ai clienti di applicare l’aggiornamento della patch critica di gennaio 2025 per Oracle Agile PLM Framework poiché include patch per [CVE-2024-21287] e patch aggiuntive”ha affermato Eric Maurice, vicepresidente di Security Assurance presso Oracle .

Di seguito sono riportati alcuni degli altri difetti di gravità critica, tutti valutati 9,8 nel punteggio CVSS, risolti da Oracle:

  • CVE-2025-21524 – Una vulnerabilità nel componente di Monitoraggio e diagnostica SEC di JD Edwards EnterpriseOne Tools
  • CVE-2023-3961 – Una vulnerabilità nel componente E1 Dev Platform Tech (Samba) di JD Edwards EnterpriseOne Tools
  • CVE-2024-23807 – Una vulnerabilità nel componente parser XML C++ di Apache Xerces di Oracle Agile Engineering Data Management
  • CVE-2023-46604 – Una vulnerabilità nel componente Apache ActiveMQ del router di segnalazione Diameter di Oracle Communications
  • CVE-2024-45492 – Una vulnerabilità nel componente XML parser (libexpat) di Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition e HTTP Server
  • CVE-2024-56337 – Una vulnerabilità nel componente server Apache Tomcat di Oracle Communications Policy Management
  • CVE-2025-21535 – Una vulnerabilità nel componente Core di Oracle WebLogic Server
  • CVE-2016-1000027 – Una vulnerabilità nel componente Spring Framework di Oracle BI Publisher
  • CVE-2023-29824 – Una vulnerabilità nel componente Analytics Server (SciPy) di Oracle Business Intelligence Enterprise Edition

Il CVE-2025-21535 è simile anche a CVE-2020-2883 (punteggio CVSS: 9,8), un’altra vulnerabilità di sicurezza critica in Oracle WebLogic Server che potrebbe essere sfruttata da un aggressore non autenticato con accesso alla rete tramite IIOP o T3.

All’inizio di questo mese, il Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto il CVE-2020-2883 al suo catalogo delle vulnerabilità note sfruttate (KEV), citando prove di sfruttamento attivo.

Il fornitore di servizi software ha inoltre rilasciato aggiornamenti per Oracle Linux con 285 nuove patch di sicurezza. Si consiglia agli utenti di applicare le correzioni necessarie per mantenere i propri sistemi aggiornati ed evitare potenziali rischi per la sicurezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Le Aziende italiane dei call center lasciano online tutte le registrazioni audio
Di Redazione RHC - 09/09/2025

Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadi...

Tasting the Exploit: HackerHood testa l’exploit di WINRAR CVE-2025-8088
Di Redazione RHC - 09/09/2025

Manuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR. Il vide...

L’ambizione di Xi Jinping e degli APT Cinesi
Di Alessio Stefan - 08/09/2025

I macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...

Minaccia Houthi o incidente misterioso? Il Mar Rosso paralizza Asia e Medio Oriente
Di Redazione RHC - 07/09/2025

Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...

Multa di 2,95 miliardi di euro per Google per abuso di posizione dominante
Di Redazione RHC - 07/09/2025

La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...