Oracle Java SE 多个漏洞（2025 年 7 月 CPU）

critical Nessus 插件 ID 242293

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Java 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞影响。

- Oracle Java SE 中的漏洞（组件：JavaFX (libxml2)）。支持的版本中受影响的是 Oracle Java SE：8u451-b50。利用此漏洞的难度较大，可通过多种协议访问网络的未经身份验证的攻击者可利用此漏洞破坏 Oracle Java SE。除攻击者以外的他人进行交互是实现成功攻击的必要条件。此漏洞如攻击成功，将导致 Oracle Java SE 被接管。(CVE-2024-40896)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 产品中存在漏洞（组件：2D）。支持的版本中受影响的是 Oracle Java SE：8u451、8u451-perf、11.0.27、17.0.15、21.0.7、24.0.1；Oracle GraalVM for JDK：17.0.15、21.0.7 和 24.0.1；Oracle GraalVM Enterprise Edition：21.3.14。攻击此漏洞的难度较大，通过多种协议访问网络的未经身份验证的攻击者可以利用此漏洞破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。攻击者如成功利用此漏洞进行攻击，则可以接管 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。(CVE-2025-30749)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 产品中的漏洞（组件：Networking）。支持的版本中受影响的是 Oracle Java SE：8u451-perf、11.0.27、17.0.15、21.0.7、24.0.1；Oracle GraalVM for JDK：17.0.15、21.0.7 和 24.0.1；Oracle GraalVM Enterprise Edition：21.3.14。此漏洞较容易受到攻击，其允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。虽然漏洞位于 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 中，但攻击可能对其他产品造成重大影响（范围变更）。如果攻击成功，攻击者可在未经授权的情况下访问重要数据，或完整访问 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 的所有可访问数据。(CVE-2025-50059)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。