-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Oracle Communications producten Advisory ID : NCSC-2025-0330 Versie : 1.00 Kans : medium CVE ID : CVE-2023-26555, CVE-2024-7254, CVE-2024-8006, CVE-2024-12133, CVE-2024-28182, CVE-2024-35164, CVE-2024-37371, CVE-2024-47554, CVE-2024-50609, CVE-2024-51504, CVE-2024-57699, CVE-2025-1948, CVE-2025-3576, CVE-2025-4373, CVE-2025-4517, CVE-2025-4802, CVE-2025-5115, CVE-2025-5318, CVE-2025-5399, CVE-2025-5889, CVE-2025-6965, CVE-2025-7339, CVE-2025-7425, CVE-2025-7962, CVE-2025-8058, CVE-2025-8916, CVE-2025-9086, CVE-2025-25724, CVE-2025-27210, CVE-2025-27533, CVE-2025-27553, CVE-2025-27587, CVE-2025-27817, CVE-2025-32415, CVE-2025-32728, CVE-2025-32990, CVE-2025-48734, CVE-2025-48924, CVE-2025-48976, CVE-2025-48989, CVE-2025-49796, CVE-2025-52999, CVE-2025-53547, CVE-2025-53643, CVE-2025-53864, CVE-2025-54090, CVE-2025-55163, CVE-2025-57803, CVE-2025-58057, CVE-2025-59375 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Relative Path Traversal Improper Control of Generation of Code ('Code Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Stack-based Buffer Overflow Heap-based Buffer Overflow Buffer Underwrite ('Buffer Underflow') Out-of-bounds Read Improper Validation of Array Index Improper Handling of Length Parameter Inconsistency Improper Neutralization of Input Terminators Integer Overflow or Wraparound Numeric Truncation Error Improper Handling of Unexpected Data Type Unchecked Return Value Incorrect Check of Function Return Value Improper Access Control Improper Authentication Authentication Bypass by Spoofing Use of Weak Hash Covert Timing Channel Detection of Error Condition Without Action Uncontrolled Resource Consumption Improper Resource Shutdown or Release Inefficient Algorithmic Complexity Improper Handling of Highly Compressed Data (Data Amplification) Double Free Use After Free Untrusted Search Path Expected Behavior Violation Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') NULL Pointer Dereference Uncontrolled Recursion Incorrect Comparison Allocation of Resources Without Limits or Throttling Out-of-bounds Write Memory Allocation with Excessive Size Value Loop with Unreachable Exit Condition ('Infinite Loop') Access of Resource Using Incompatible Type ('Type Confusion') Server-Side Request Forgery (SSRF) CWE-937 CWE-1035 Improper Validation of Specified Quantity in Input Inefficient Regular Expression Complexity Uitgiftedatum : 20251023 Toepassing : Oracle Communications Cloud Native Core Console Oracle Management Cloud Engine Oracle Oracle Communications Billing and Revenue Management Oracle Oracle Communications Calendar Server Oracle Oracle Communications Cloud Native Core Automated Test Suite Oracle Oracle Communications Cloud Native Core Binding Support Function Oracle Oracle Communications Cloud Native Core Certificate Management Oracle Oracle Communications Cloud Native Core DBTier Oracle Oracle Communications Cloud Native Core Network Function Cloud Native Environment Oracle Oracle Communications Cloud Native Core Network Repository Function Oracle Oracle Communications Cloud Native Core Network Slice Selection Function Oracle Oracle Communications Cloud Native Core Policy Oracle Oracle Communications Cloud Native Core Security Edge Protection Proxy Oracle Oracle Communications Cloud Native Core Service Communication Proxy Oracle Oracle Communications Cloud Native Core Unified Data Repository Oracle Oracle Communications Converged Charging System Oracle Oracle Communications Convergence Oracle Oracle Communications Convergent Charging Controller Oracle Oracle Communications Diameter Signaling Router Oracle Oracle Communications EAGLE Element Management System Oracle Oracle Communications EAGLE LNP Application Processor Oracle Oracle Communications LSMS Oracle Oracle Communications Messaging Server Oracle Oracle Communications Network Analytics Data Director Oracle Oracle Communications Network Charging and Control Oracle Oracle Communications Network Integrity Oracle Oracle Communications Offline Mediation Controller Oracle Oracle Communications Operations Monitor Oracle Oracle Communications Order and Service Management Oracle Oracle Communications Pricing Design Center Oracle Oracle Communications Service Catalog and Design Oracle Oracle Communications Session Border Controller Oracle Oracle Communications Unified Assurance Oracle Oracle Communications Unified Inventory Management Oracle Oracle Enterprise Communications Broker Oracle Oracle Enterprise Operations Monitor Versie(s) : Platform(s) : Beschrijving Oracle heeft meerdere kwetsbaarheden verholpen in zijn Communications producten, waaronder de Unified Assurance en Cloud Native Core. De kwetsbaarheden in de Oracle Communications producten stellen kwaadwillenden in staat om ongeautoriseerde toegang te verkrijgen, wat kan leiden tot gedeeltelijke of volledige Denial-of-Service (DoS) aanvallen. Specifiek kunnen aanvallers met netwerktoegang de systemen compromitteren, wat resulteert in ongeautoriseerde toegang tot gevoelige gegevens. De CVSS-scores van deze kwetsbaarheden variƫren van 3.1 tot 9.8, wat wijst op een breed scala aan risico's, van beperkte tot ernstige impact op de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen. Mogelijke oplossingen Oracle heeft updates uitgebracht om de kwetsbaarheden in zijn Communications producten te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.oracle.com/security-alerts/cpuoct2025.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmj6K/gACgkQytTOqyR+ cF+zlAv+LB/Dz1Rs/exjidw4eZ5N33LgxWdAIoOjytzzRbYf4xpV1bXwY0cq5Agb GHxEPgNqGyoQiv3eLXjOY+VFC8Xd30mBXM7/CfNXvEkntX4ZgN8aPTj/CNN9Fxrv KcyRyuNow8MCNe0btZxNDUrGtrWSQDMn3B00tIvwtCRS5FE36wswaya2dcJqAhLw v8RgkM8XmH8+YX1yQwGRyIa7WUpdrtMxnSk7oXRsq7+S3vSZ/b1xy/zfan1+UWLt gNuLPJY5hrbSvKtzkXdXKMtXHAva1bL+uuNAi6tJSg6/uz0WFWJZLo6XRvWh76tn AdoshzZoaTIWcEQxwgl6DvnLMtMlZHyAJGesEze19xtMkEA6AeRCdmCI62uPZ/iR sz/VB3XrezCW/xzNwwHph4tJdiFIh5BKeiNKsYW0E3LF9/CLwyTTeMIUcbh4XPVY PEL7Q/IGA9zEmHXL9/1LChG3zpl/AiOgyCb37Ya7mW+bvNySeNt39ffcKwMsfqki 4yk0MANf =TyMD -----END PGP SIGNATURE-----