Oracle, müşterilerini, ürün ve hizmetlerini kapsayan 318 yeni güvenlik açığını gidermek için Ocak 2025 Kritik Yama Güncellemesini (CPU) uygulamaya çağırıyor.
Kusurların en ciddisi, Oracle Agile Ürün Yaşam Döngüsü Yönetimi (PLM) Çerçevesinde (CVE-2025-21556, CVSS puanı: 9,9) bir saldırganın duyarlı örneklerin kontrolünü ele geçirmesine olanak verebilecek bir hatadır.
NIST Ulusal Güvenlik Açığı Veritabanındaki (NVD) güvenlik açığının açıklamasına göre, “Kolayca istismar edilebilen güvenlik açığı, HTTP üzerinden ağ erişimi olan düşük ayrıcalıklı saldırganların Oracle Agile PLM Framework’ü tehlikeye atmasına olanak tanıyor.”
Oracle’ın Kasım 2024’te aynı üründeki başka bir kusura (CVE-2024-21287, CVSS puanı: 7,5) karşı aktif istismar girişimleri konusunda uyardığını belirtmekte fayda var. Her iki güvenlik açığı da Oracle Agile PLM Framework sürüm 9.3.6’yı etkiliyor.
“Müşterilere, Oracle Agile PLM Framework için Ocak 2025 Kritik Yama Güncellemesini uygulamaları şiddetle tavsiye edilir; çünkü bu güncelleme, Oracle Agile PLM Framework için yamalar içermektedir. [CVE-2024-21287] Oracle Güvenlik Güvencesi başkan yardımcısı Eric Maurice, “ek yamaların yanı sıra ek yamalar da var” dedi.
Oracle tarafından ele alınan ve CVSS puanına göre tümü 9,8 olarak derecelendirilen diğer kritik önem derecesine sahip kusurlardan bazıları şunlardır:
- CVE-2025-21524 – JD Edwards EnterpriseOne Tools’un İzleme ve Tanılama SEC bileşenindeki bir güvenlik açığı
- CVE-2023-3961 – JD Edwards EnterpriseOne Tools’un E1 Dev Platform Tech (Samba) bileşenindeki bir güvenlik açığı
- CVE-2024-23807 – Oracle Agile Engineering Data Management’ın Apache Xerces C++ XML ayrıştırıcı bileşenindeki bir güvenlik açığı
- CVE-2023-46604 – Oracle Communications Diameter Signaling Router’ın Apache ActiveMQ bileşenindeki bir güvenlik açığı
- CVE-2024-45492 – Oracle Communications Network Analytics Data Director, Finansal Hizmetler Davranış Tespit Platformu, Finansal Hizmetler Ticaretine Dayalı Kara Para Aklamayı Önleme Kurumsal Sürümü ve HTTP Sunucusunun XML ayrıştırıcı (libexpat) bileşenindeki bir güvenlik açığı
- CVE-2024-56337 – Oracle Communications Policy Management’ın Apache Tomcat sunucu bileşenindeki bir güvenlik açığı
- CVE-2025-21535 – Oracle WebLogic Server’ın Core bileşeninde bir güvenlik açığı
- CVE-2016-1000027 – Oracle İş Zekası Yayımcısı’nın Spring Framework bileşenindeki bir güvenlik açığı
- CVE-2023-29824 – Oracle Business Intelligence Enterprise Edition’ın Analitik Sunucusu (SciPy) bileşenindeki bir güvenlik açığı
CVE-2025-21535 aynı zamanda Oracle WebLogic Server’da IIOP veya T3 üzerinden ağ erişimi olan, kimliği doğrulanmamış bir saldırgan tarafından istismar edilebilecek başka bir kritik güvenlik açığı olan CVE-2020-2883’e (CVSS puanı: 9,8) benzer.
Bu ayın başlarında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif kullanım kanıtlarına atıfta bulunarak CVE-2020-2883’ü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Ayrıca Oracle tarafından ele alınan CVE-2024-37371 (CVSS puanı: 9.1), İletişim Faturalandırma ve Gelir Yönetimini etkileyen ve bir saldırganın “geçersiz uzunluktaki alanlara sahip mesaj belirteçleri göndererek geçersiz bellek okumalarına neden olmasına” olanak tanıyan kritik bir Kerberos 5 kusurudur.
Kullanıcıların sistemlerini güncel tutmak ve olası güvenlik risklerinden kaçınmak için gerekli yamaları uygulamaları tavsiye edilir.