Oracle GoldenGate for Big Data 多个漏洞 23.x < 23.9.0.25.07（2025 年 7 月 CPU）

critical Nessus 插件 ID 242270

语言：

简介

远程主机上的 Oracle GoldenGate for Big Data 应用程序受到多个漏洞的影响。

描述

根据自我报告的版本号，位于远程主机上的 Oracle GoldenGate for Big Data 应用程序受到多个漏洞影响：

- Oracle GoldenGate 的 Oracle GoldenGate Big Data 和应用程序适配器产品中存在漏洞（组件：Java Delivery (Netty)）。支持的版本中受影响的是 23.4-23.7。攻击此漏洞的难度较大，通过 TLS 访问网络的未经认证的攻击者可以利用此漏洞入侵 Oracle GoldenGate Big Data 和应用程序适配器。成功攻击此漏洞可导致在未经授权的情况下，造成 Oracle GoldenGate Big Data 和应用程序适配器部分拒绝服务（部分 DOS）。(CVE-2025-24970)

- Oracle GoldenGate 的 Oracle GoldenGate Stream Analytics 产品中存在漏洞（组件：Stream Analytics (Netty)）。难以利用的漏洞允许低特权的攻击者访问硬件（Oracle GoldenGate Stream Analytics 在该硬件上执行）上附加的物理通信段，从而破坏 Oracle GoldenGate Stream Analytics。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle GoldenGate Stream Analytics 挂起或频繁出现崩溃（完整 DOS）。(CVE-2025-25193)

- Oracle GoldenGate 的 Oracle GoldenGate Big Data 和应用程序适配器产品中存在漏洞（组件：Java Delivery (Apache HttpClient)）。支持的版本中受影响的是 23.4-23.6。此漏洞易于被利用，通过 HTTPS 访问网络的未经认证的攻击者可以利用此漏洞入侵 Oracle GoldenGate Big Data 和应用程序适配器。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle GoldenGate Big Data 和应用程序适配器可访问数据的访问权限。(CVE-2025-27820)

- Oracle GoldenGate（组件：GoldenGate Big Data and Application Adapters (Apache Parquet Java)）的 Oracle GoldenGate Big Data and Application Adapters 产品中的深层安全问题。无法在产品环境中利用此漏洞。(CVE-2025-30065)

- Apache Parquet 1.15.0 和之前版本的 parquet-avro 模块中的 Schema 解析允许危险分子执行任意代码。尽管 1.15.1 引入了限制不受信任程序包的修复，受信任程序包的默认设置仍允许执行这些程序包中的恶意类。仅当 parquet-avro 的客户端代码特意使用“specific”或“reflect”模型读取 Parquet 文件时，才可利用此漏洞。（“generic”型号不受影响）。(CVE-2025-46762)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。