Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
Home
Attenzione ai gruppi WhatsApp: Un’immagine può compromettere lo smartphone-ServiceNow sotto attacco: come un’email può spalancare le porte della tua azienda-Scoperta Shock su Instagram: Post Privati Accessibili Senza Login!-149 Milioni di Account Esposti: Il Database Che Nessuno Doveva Vedere-Sicurezza email sotto pressione: raddoppiano i kit di phishing nel 2025-Attenzione ai gruppi WhatsApp: Un’immagine può compromettere lo smartphone-ServiceNow sotto attacco: come un’email può spalancare le porte della tua azienda-Scoperta Shock su Instagram: Post Privati Accessibili Senza Login!-149 Milioni di Account Esposti: Il Database Che Nessuno Doveva Vedere-Sicurezza email sotto pressione: raddoppiano i kit di phishing nel 2025
LECS 970x120 1
Banner Ransomfeed 320x100 1
Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7

Oracle Patch Party! 318 vulnerabilità eliminate, ma 9 con Score Superiore a 9,7

22 Gennaio 2025 16:08

Oracle invita i clienti ad applicare il suo Critical Patch Update (CPU) di gennaio 2025 per risolvere 318 nuove vulnerabilità di sicurezza che interessano i suoi prodotti e servizi.

La falla più grave è un bug nell’Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, punteggio CVSS: 9,9) che potrebbe consentire a un aggressore di assumere il controllo di istanze vulnerabili.

Si tratta di “Una vulnerabilità facilmente sfruttabile consente ad aggressori con privilegi bassi con accesso alla rete tramite HTTP di compromettere Oracle Agile PLM Framework”, secondo una descrizione della falla di sicurezza nel NIST National Vulnerability Database (NVD).

Vale la pena notare che Oracle ha avvisato di tentativi di sfruttamento attivi contro un altro difetto nello stesso prodotto (CVE-2024-21287, punteggio CVSS: 7,5) a novembre 2024. Entrambe le vulnerabilità interessano Oracle Agile PLM Framework versione 9.3.6.

“Si consiglia vivamente ai clienti di applicare l’aggiornamento della patch critica di gennaio 2025 per Oracle Agile PLM Framework poiché include patch per [CVE-2024-21287] e patch aggiuntive”ha affermato Eric Maurice, vicepresidente di Security Assurance presso Oracle .

Di seguito sono riportati alcuni degli altri difetti di gravità critica, tutti valutati 9,8 nel punteggio CVSS, risolti da Oracle:

  • CVE-2025-21524 – Una vulnerabilità nel componente di Monitoraggio e diagnostica SEC di JD Edwards EnterpriseOne Tools
  • CVE-2023-3961 – Una vulnerabilità nel componente E1 Dev Platform Tech (Samba) di JD Edwards EnterpriseOne Tools
  • CVE-2024-23807 – Una vulnerabilità nel componente parser XML C++ di Apache Xerces di Oracle Agile Engineering Data Management
  • CVE-2023-46604 – Una vulnerabilità nel componente Apache ActiveMQ del router di segnalazione Diameter di Oracle Communications
  • CVE-2024-45492 – Una vulnerabilità nel componente XML parser (libexpat) di Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition e HTTP Server
  • CVE-2024-56337 – Una vulnerabilità nel componente server Apache Tomcat di Oracle Communications Policy Management
  • CVE-2025-21535 – Una vulnerabilità nel componente Core di Oracle WebLogic Server
  • CVE-2016-1000027 – Una vulnerabilità nel componente Spring Framework di Oracle BI Publisher
  • CVE-2023-29824 – Una vulnerabilità nel componente Analytics Server (SciPy) di Oracle Business Intelligence Enterprise Edition

Il CVE-2025-21535 è simile anche a CVE-2020-2883 (punteggio CVSS: 9,8), un’altra vulnerabilità di sicurezza critica in Oracle WebLogic Server che potrebbe essere sfruttata da un aggressore non autenticato con accesso alla rete tramite IIOP o T3.

All’inizio di questo mese, il Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto il CVE-2020-2883 al suo catalogo delle vulnerabilità note sfruttate (KEV), citando prove di sfruttamento attivo.

Il fornitore di servizi software ha inoltre rilasciato aggiornamenti per Oracle Linux con 285 nuove patch di sicurezza. Si consiglia agli utenti di applicare le correzioni necessarie per mantenere i propri sistemi aggiornati ed evitare potenziali rischi per la sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks

Articoli in evidenza

Immagine del sitoCultura
Il ransomware non blocca i server, blocca il credito. Il lato finanziario della cybersecurity
Antonio Piovesan - 27/01/2026

C’è questa idea sbagliata, un po’ romantica volendo, per cui il ransomware è “roba da IT”: qualche server in crisi, due notti in bianco, poi si riparte e fine… La realtà, soprattutto per un’azienda quotata…

Immagine del sitoDiritti
Difesa attiva e hack back: il labirinto legale della cybersecurity
Paolo Galdieri - 27/01/2026

Nel precedente contributo abbiamo esplorato come la posizione di garanzia del professionista della cybersecurity si scontri con fattispecie classiche come l’accesso abusivo. Tuttavia, nella mia esperienza professionale e accademica, riscontro spesso una zona d’ombra ancora…

Immagine del sitoVulnerabilità
E che il phishing abbia inizio! Microsoft corre ai ripari per una zero-day già sfruttata in Office
Pietro Melillo - 27/01/2026

Ancora una volta Microsoft si è vista obbligata ad effettuare una rapida correzione di alcune falle. L’azienda ha rilasciato patch non programmate per Microsoft Office, risolvendo una pericolosa vulnerabilità zero-day già sfruttata in attacchi informatici.…

Immagine del sitoCyber News
ServiceNow sotto attacco: come un’email può spalancare le porte della tua azienda
Redazione RHC - 27/01/2026

La recente scoperta di una vulnerabilità nella piattaforma AI di ServiceNow ha scosso profondamente il settore della sicurezza informatica. Questa falla, caratterizzata da un punteggio di gravità estremamente elevato, ha permesso ad aggressori non autenticati…

Immagine del sitoCyber News
Scoperta Shock su Instagram: Post Privati Accessibili Senza Login!
Redazione RHC - 26/01/2026

La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…