![](https://i.imgur.com/FWaKNe1.png)
**Oracle** ha instado a sus clientes a aplicar la **actualización de parches críticos (CPU) de enero de 2025**, diseñada para abordar **318 vulnerabilidades de seguridad** que afectan múltiples productos y servicios.
Falla crítica en Oracle Agile PLM Framework (CVE-2025-21556)
Entre los errores más graves se encuentra una vulnerabilidad en **Oracle Agile Product Lifecycle Management (PLM) Framework** (**CVE-2025-21556**, **CVSS 9.9**), que podría permitir a un atacante tomar el control de instancias vulnerables.
> *"La vulnerabilidad fácilmente explotable permite a los atacantes con pocos privilegios comprometer Oracle Agile PLM Framework a través de HTTP"*, señala la **Base de Datos Nacional de Vulnerabilidades (NVD) del NIST**.
Oracle también advierte sobre intentos de explotación activa contra otra vulnerabilidad en el mismo producto (**CVE-2024-21287**, **CVSS 7.5**), descubierta en **noviembre de 2024**. Ambas afectan la versión **9.3.6** de Agile PLM Framework.
Lista de vulnerabilidades críticas en productos Oracle
Entre las fallas con **puntuación CVSS de 9.8**, incluidas en esta actualización, destacan:
- **CVE-2025-21524**: Falla en el componente **SEC de JD Edwards EnterpriseOne Tools**.
- **CVE-2023-3961**: Vulnerabilidad en el **E1 Dev Platform Tech (Samba)** de JD Edwards EnterpriseOne Tools.
- **CVE-2024-23807**: Exploit en el **analizador XML Apache Xerces C++** de Oracle Agile Engineering Data Management.
- **CVE-2023-46604**: Problema en el **componente Apache ActiveMQ** del enrutador de señalización de diámetro de Oracle.
- **CVE-2024-45492**: Falla en el **analizador XML (libexpat)** de Oracle Communications Network Analytics Data Director y Financial Services.
- **CVE-2024-56337**: Vulnerabilidad en **Apache Tomcat** de Oracle Communications Policy Management.
- **CVE-2025-21535**: Fallo en el **núcleo de Oracle WebLogic Server**.
- **CVE-2016-1000027**: Problema en el **Spring Framework** de Oracle BI Publisher.
- **CVE-2023-29824**: Exploit en el **Analytics Server (SciPy)** de Oracle Business Intelligence Enterprise Edition.
CVE-2025-21535: Una amenaza similar a CVE-2020-2883
La vulnerabilidad **CVE-2025-21535** en **Oracle WebLogic Server** se asemeja a **CVE-2020-2883** (**CVSS 9.8**), una falla crítica que puede ser explotada remotamente a través de **IIOP o T3**.
Dicha vulnerabilidad fue recientemente añadida por la **CISA (Cybersecurity & Infrastructure Security Agency)** al catálogo de **Vulnerabilidades Explotadas Conocidas (KEV)**, indicando pruebas de explotación activa.
Falla crítica en Kerberos 5 (CVE-2024-37371)
Otro problema abordado en esta actualización es **CVE-2024-37371** (**CVSS 9.1**), una vulnerabilidad en **Kerberos 5**, que afecta el sistema de **facturación y gestión de ingresos de Oracle Communications**.
Este fallo podría permitir a un atacante provocar **lecturas de memoria no válidas** mediante el envío de **tokens de mensajes con longitudes incorrectas**.
Oracle Linux: 285 parches adicionales de seguridad
Además de estas actualizaciones, Oracle ha lanzado **285 nuevos parches de seguridad para Oracle Linux**, con el objetivo de corregir vulnerabilidades y reforzar la protección de los sistemas operativos.
Instalar la actualización es crucial para la ciberseguridad
Oracle recomienda a todos los usuarios aplicar la **actualización de enero 2025** de inmediato para mitigar los riesgos asociados a estas vulnerabilidades críticas. Mantener los sistemas actualizados es esencial para **prevenir ataques cibernéticos y garantizar la seguridad de la infraestructura TI**.
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta