-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Oracle Fusion Middleware Advisory ID : NCSC-2026-0027 Versie : 1.00 Kans : medium CVE ID : CVE-2021-45105, CVE-2022-41342, CVE-2024-13009, CVE-2024-42516, CVE-2024-43204, CVE-2024-47252, CVE-2024-47554, CVE-2024-56406, CVE-2025-4949, CVE-2025-5115, CVE-2025-12383, CVE-2025-23048, CVE-2025-26333, CVE-2025-31672, CVE-2025-41248, CVE-2025-41249, CVE-2025-43967, CVE-2025-48924, CVE-2025-48976, CVE-2025-49796, CVE-2025-53864, CVE-2025-54571, CVE-2025-54874, CVE-2025-54988, CVE-2025-55163, CVE-2025-59375, CVE-2025-66516, CVE-2026-21962 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Control of Generation of Code ('Code Injection') Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') Improper Output Neutralization for Logs Improper Restriction of Operations within the Bounds of a Memory Buffer Heap-based Buffer Overflow Out-of-bounds Read Improper Neutralization of Escape, Meta, or Control Sequences Generation of Error Message Containing Sensitive Information Unchecked Return Value Improper Access Control Improper Authorization Authentication Bypass by Alternate Name Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') Uncontrolled Resource Consumption Improper Resource Shutdown or Release Use of Uninitialized Variable NULL Pointer Dereference Improper Restriction of XML External Entity Reference Uncontrolled Recursion Allocation of Resources Without Limits or Throttling Out-of-bounds Write Improper Control of Document Type Definition Access of Resource Using Incompatible Type ('Type Confusion') Incorrect Authorization Server-Side Request Forgery (SSRF) CWE-937 CWE-1035 Uitgiftedatum : 20260121 Toepassing : Oracle Data Integrator Oracle Fusion Middleware Oracle Identity Manager Connector Oracle Managed File Transfer Oracle Oracle Business Process Management Suite Oracle Oracle Coherence Oracle Oracle Global Lifecycle Management NextGen OUI Framework Oracle Oracle HTTP Server Oracle Oracle HTTP Server, Oracle Weblogic Server Proxy Plug-in Oracle Oracle Identity Manager Oracle Oracle Outside In Technology Oracle Oracle SOA Suite Oracle Oracle Security Service Oracle Oracle Service Bus Oracle Oracle Unified Directory Oracle Oracle WebCenter Enterprise Capture Oracle Oracle WebLogic Server Oracle Oracle Weblogic Server Proxy Plug-in Oracle Service Delivery Platform Oracle WebCenter Sites Versie(s) : Platform(s) : Beschrijving Oracle heeft kwetsbaarheden verholpen in verschillende producten, waaronder Oracle HTTP Server, Oracle WebLogic Server, en Oracle Fusion Middleware. De kwetsbaarheden in de Oracle producten stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot gevoelige gegevens, Denial-of-Service (DoS) aanvallen uit te voeren, en de integriteit van systemen te compromitteren. Specifieke kwetsbaarheden omvatten onjuist beheer van HTTP-headers, ongecontroleerde recursie, en onvoldoende bufferbeperkingen, wat kan leiden tot systeemcrashes en gegevensverlies. Mogelijke oplossingen Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.oracle.com/security-alerts/cpujan2026.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmlwp0gACgkQgupWoL0Z hGHd/Qv7BXA8FZ94I2FiAxj9VwHTb1tTXVCE7vtdNV0IQegWqffUWXyFalhMa3PR E4W60VALh5ATTjXnwpXCJ9MAPZvOXBMdSKK5y9cnFMqzVx6A9qNsYR3PLp7iW2SI M9/y9/0UCqL1S5FDexelRmR4d4ZN+B0RbEgF5aCAdofDQC8kRNy2e7b52o8bqEty l/RyfVytxhshOuKmiZq+jr7FLNWeGmH/Dmcty+n3baGkPzTV/dobqiZS8+bElAOm xKlwh7U+KPCr8d3nHD3YHwAJi7JN1XFOsFuQNOnSJJIPdvFqo8WTdUmavN4Q1ZqM nw8E6XB8e/EuaHNVSwJ2s+7rYaJDHwo1CwhnVqwzbZBC1B8N2wi62ZEV50h80LmT TFDBzTAY921Xb5AUm/Sts2TRLmYXNCzTm4OmBPZtEgOK9zOzDEjq2ttif/tPhB+H SFRMersVRWWr5Cq6kTad6qwG92GWWH66ZNSCjb4JHOOXB95on3FeXyI+8NUr5Ch5 jHW8J2QH =M4U8 -----END PGP SIGNATURE-----