-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Oracle Financial Services
Advisory ID : NCSC-2025-0127
Versie : 1.00
Kans : medium
CVE ID : CVE-2021-28170, CVE-2023-39410, CVE-2023-49582,
CVE-2024-5206, CVE-2024-28168, CVE-2024-28219,
CVE-2024-35195, CVE-2024-37891, CVE-2024-38819,
CVE-2024-38820, CVE-2024-38827, CVE-2024-47072,
CVE-2024-47554, CVE-2024-56128, CVE-2024-56337,
CVE-2024-57699, CVE-2025-21573, CVE-2025-23184,
CVE-2025-24970
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Incorrect Implementation of Authentication Algorithm
Uncontrolled Recursion
Buffer Copy without Checking Size of Input ('Classic
Buffer Overflow')
Insecure Storage of Sensitive Information
Authorization Bypass Through User-Controlled Key
Improper Resource Shutdown or Release
Use of Potentially Dangerous Function
Incorrect Resource Transfer Between Spheres
Incorrect Permission Assignment for Critical Resource
Improper Handling of Case Sensitivity
Improper Access Control
Improper Restriction of Operations within the Bounds
of a Memory Buffer
Time-of-check Time-of-use (TOCTOU) Race Condition
Storage of Sensitive Data in a Mechanism without
Access Control
Always-Incorrect Control Flow Implementation
Integer Overflow to Buffer Overflow
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Deserialization of Untrusted Data
Improper Input Validation
Uncontrolled Resource Consumption
Improper Restriction of XML External Entity Reference
Stack-based Buffer Overflow
Uitgiftedatum : 20250416
Toepassing : Oracle Banking Liquidity Management
Oracle Corporation Oracle Financial Services Revenue
Management and Billing
Oracle Financial Services Analytical Applications
Infrastructure
Oracle Financial Services Behavior Detection Platform
Oracle Financial Services Compliance Studio
Oracle Financial Services Model Management and
Governance
Oracle Oracle Banking APIs
Oracle Oracle Banking Corporate Lending Process
Management
Oracle Oracle Banking Digital Experience
Oracle Oracle Banking Liquidity Management
Oracle Oracle Banking Origination
Oracle Oracle Financial Services Analytical
Applications Infrastructure
Oracle Oracle Financial Services Behavior Detection
Platform
Oracle Oracle Financial Services Compliance Studio
Oracle Oracle Financial Services Model Management and
Governance
Oracle Oracle Financial Services Revenue Management
and Billing
Oracle Oracle Financial Services Trade-Based Anti
Money Laundering Enterprise Edition
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft kwetsbaarheden verholpen in verschillende Financial
Services producten
De kwetsbaarheden stellen niet-geauthenticeerde kwaadwillenden in
staat om via HTTP toegang te krijgen tot kritieke gegevens, wat kan
leiden tot ongeautoriseerde gegevenstoegang en andere
beveiligingsrisico's. Kwaadwillenden kunnen ook gebruik maken van
misconfiguraties en kwetsbaarheden in de software om privilege-
escalatie, denial-of-service en remote code execution uit te voeren.
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd; oracle
https://www.oracle.com/security-alerts/cpuapr2025.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=UgkC
-----END PGP SIGNATURE-----
