Oracle แนะนำให้ลูกค้าติดตั้ง Critical Patch Update (CPU) ประจำเดือนมกราคม 2025 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยใหม่จำนวน 318 รายการที่พบในผลิตภัณฑ์ และบริการต่าง ๆ ของบริษัท
ช่องโหว่ที่มีความรุนแรงระดับ Critical คือช่องโหว่ Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, คะแนน CVSS: 9.9) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบที่มีช่องโหว่ได้
ตามคำอธิบายใน National Vulnerability Database (NVD) ของ NIST ระบุว่า "CVE-2025-21556 เป็นช่องโหว่ที่สามารถโจมตีได้ง่าย ช่วยให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำสามารถเข้าถึงเครือข่ายผ่าน HTTP เพื่อเข้าควบคุม Oracle Agile PLM Framework ได้"
Oracle เคยแจ้งเตือนถึงความพยายามในการโจมตีต่อช่องโหว่อีกรายการหนึ่งในผลิตภัณฑ์เดียวกัน (CVE-2024-21287, คะแนน CVSS: 7.5) เมื่อเดือนพฤศจิกายน 2024 โดยช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบต่อ Oracle Agile PLM Framework เวอร์ชัน 9.3.6
Eric Maurice รองประธานฝ่าย Security Assurance ของ Oracle ระบุว่า "ขอให้ลูกค้าเร่งติดตั้ง Critical Patch Update ประจำเดือนมกราคม 2025 เนื่องจากมีแพตช์สำหรับช่องโหว่ CVE-2024-21287 และรวมถึงแพตช์แก้ไขช่องโหว่เพิ่มเติมอื่น ๆ ด้วย"
นอกจากนี้ Oracle ยังได้แก้ไขช่องโหว่ระดับ Critical อื่น ๆ ที่มีคะแนน CVSS 9.8 โดยมีรายละเอียดดังต่อไปนี้ :
- CVE-2025-21524 - ช่องโหว่ Monitoring and Diagnostics SEC ใน Component ของ JD Edwards EnterpriseOne Tools
- CVE-2023-3961 - ช่องโหว่ E1 Dev Platform Tech (Samba) ใน Component ของ JD Edwards EnterpriseOne Tools
- CVE-2024-23807 - ช่องโหว่ Apache Xerces C++ XML parser ใน Component ของ Oracle Agile Engineering Data Management
- CVE-2023-46604 - ช่องโหว่ Apache ActiveMQ ใน Component ของ Oracle Communications Diameter Signaling Router
- CVE-2024-45492 - ช่องโหว่ XML parser (libexpat) ใน Component ของ Oracle Communications Network Analytics Data Director, Financial Services Behavior Detection Platform, Financial Services Trade-Based Anti Money Laundering Enterprise Edition และ HTTP Server
- CVE-2024-56337 - ช่องโหว่ Apache Tomcat server ใน Component ของ Oracle Communications Policy Management
- CVE-2025-21535 - ช่องโหว่ Core ใน Component ของ Oracle WebLogic Server
- CVE-2016-1000027 - ช่องโหว่ Spring Framework ใน Component ของ Oracle BI Publisher
- CVE-2023-29824 - ช่องโหว่ Analytics Server (SciPy) ใน Component ของ Oracle Business Intelligence Enterprise Edition
CVE-2025-21535 มีลักษณะคล้ายกับ CVE-2020-2883 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกรายการหนึ่งใน Oracle WebLogic Server ที่สามารถถูกโจมตีโดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนผ่านการเข้าถึงเครือข่ายด้วยโปรโตคอล IIOP หรือ T3
เมื่อต้นเดือนที่ผ่านมา CISA ของสหรัฐฯ ได้เพิ่ม CVE-2020-2883 ลงในรายการ Known Exploited Vulnerabilities (KEV) โดยอ้างอิงจากหลักฐาน และข้อมูลการโจมตีที่เกิดขึ้นจริงในโลกไซเบอร์
นอกจากนี้ Oracle ยังได้แก้ไขช่องโหว่ CVE-2024-37371 (คะแนน CVSS: 9.1) ซึ่งเป็นช่องโหว่ระดับ Critical ใน Kerberos 5 ที่ส่งผลกระทบต่อระบบ Communications Billing and Revenue Management โดยช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถอ่านหน่วยความจำที่ไม่ถูกต้องโดยการส่ง tokens ข้อความที่มีฟิลด์ความยาวไม่ถูกต้องได้
แนะนำให้ผู้ใช้ดำเนินการติดตั้งแพตช์อัปเดตเพื่อปรับปรุงระบบให้เป็นปัจจุบัน และหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้
ที่มา : thehackernews
You must be logged in to post a comment.