-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Oracle Fusion Middleware
Advisory ID : NCSC-2025-0128
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-13936, CVE-2020-25649, CVE-2023-26464,
CVE-2024-7254, CVE-2024-9143, CVE-2024-11053,
CVE-2024-11612, CVE-2024-25710, CVE-2024-28168,
CVE-2024-29857, CVE-2024-38476, CVE-2024-40896,
CVE-2024-47072, CVE-2024-47554, CVE-2024-47561,
CVE-2024-50602, CVE-2024-52046, CVE-2024-56337,
CVE-2025-23184, CVE-2025-24970, CVE-2025-27363
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Exposure of Sensitive Information to an Unauthorized
Actor
Uncontrolled Recursion
Improper Restriction of XML External Entity Reference
Improper Resource Shutdown or Release
Deserialization of Untrusted Data
Improper Check for Unusual or Exceptional Conditions
Improper Input Validation
Time-of-check Time-of-use (TOCTOU) Race Condition
Uncontrolled Resource Consumption
Out-of-bounds Read
Stack-based Buffer Overflow
Improper Control of Generation of Code ('Code
Injection')
Inclusion of Functionality from Untrusted Control
Sphere
Out-of-bounds Write
Loop with Unreachable Exit Condition ('Infinite Loop')
Improper Neutralization of Special Elements Used in a
Template Engine
Uitgiftedatum : 20250416
Toepassing : Oracle Coherence
Oracle Data Integrator
Oracle Jdeveloper (Application)
Oracle Managed File Transfer
Oracle Oracle Access Manager
Oracle Oracle Business Activity Monitoring
Oracle Oracle Business Process Management Suite
Oracle Oracle Coherence
Oracle Oracle Data Integrator
Oracle Oracle Fusion Middleware MapViewer
Oracle Oracle HTTP Server
Oracle Oracle JDeveloper
Oracle Oracle Managed File Transfer
Oracle Oracle Outside In Technology
Oracle Oracle SOA Suite
Oracle Oracle Service Bus
Oracle Oracle WebCenter Forms Recognition
Oracle Oracle WebCenter Portal
Oracle Oracle WebLogic Server
Oracle Outside In Technology
Oracle WebCenter Portal
Oracle Weblogic Server
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft meerdere kwetsbaarheden verholpen in verschillende
producten, waaronder de Utilities Application Framework, WebLogic
Server, en Fusion Middleware.
De kwetsbaarheden stellen ongeauthenticeerde kwaadwillenden in staat
om toegang te krijgen tot kritieke gegevens, Denial-of-Service (DoS)
te veroorzaken, en in sommige gevallen zelfs volledige controle over
systemen te verkrijgen. Kwaadwillenden kunnen deze kwetsbaarheden
misbruiken door speciaal vervaardigde verzoeken te sturen of door
gebruik te maken van onveilige configuraties in de getroffen
producten.
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd; oracle
https://www.oracle.com/security-alerts/cpuapr2025.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=mDqZ
-----END PGP SIGNATURE-----
