Oracle Database Server (2025 年 10 月 CPU)

high Nessus 插件 ID 271256

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Database Server 版本受到 2025 年 10 月 CPU 公告中提及的多个漏洞影响。

- Oracle Database Server 的 SQLcl (jgit) 组件中存在漏洞。支持的版本中受影响的是 23.4-23.9。利用此漏洞的难度较大，拥有“有效帐户”特权的低权限攻击者可通过 HTTP 进行网络访问，从而破坏 SQLcl (jgit)。除攻击者以外的他人进行交互是实现成功攻击的必要条件。若成功攻击此漏洞，则可导致在未经授权的情况下访问重要数据，或完整访问所有可供访问的 SQLcl (jgit) 数据。
(CVE-2025-4949)

- Oracle Database Server 的 RDBMS (Python) 组件中的漏洞。支持的版本中受影响的是 21.3-21.19 和 23.4-23.9。利用此漏洞的难度较小，具有“经过身份验证的用户”特权且可登录 RDBMS (Python) 执行所在基础设施的低权限攻击者可借此破坏 RDBMS (Python)。除攻击者以外的他人进行交互是实现成功攻击的必要条件。若成功攻击此漏洞，则可导致接管 RDBMS (Python)。
CVE-2024-12254、CVE-2024-12718、CVE-2024-6923、CVE-2024-8088、CVE-2025-1795、CVE-2025-4138、CVE-2025-4330、CVE-2025-4435、CVE-2025-4517）

- Oracle Database Server 的 Java VM 组件中存在漏洞。支持的版本中受影响的是 19.3-19.28、21.3-21.19 和 23.4-23.9。利用此漏洞的难度较大，未经身份验证的攻击者可通过 Oracle Net 进行网络访问，从而破坏 Java VM。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有 Java VM 可访问的数据。(CVE-2025-61881)

- Oracle Database Server 的 Portable Clusterware 组件中存在漏洞。支持的版本中受影响的是 19.3-19.28、21.3-21.19 和 23.4-23.9。利用此漏洞的难度较小，未经身份验证的攻击者可通过 Bonjour 进行网络访问，从而破坏 Portable Clusterware。虽然漏洞位于 Portable Clusterware 中，但攻击可能对其他产品造成重大影响 (范围更改)。若成功攻击此漏洞，则可导致对 Portable Clusterware 可访问数据子集进行未经授权的读取访问。(CVE-2025-53047)

- Oracle Database Server 的 Unified Audit 组件中存在的漏洞。支持的版本中受影响的是 23.4-23.9。利用此漏洞的难度较小，拥有 DBA 特权并通过 Oracle Net 访问网络的高权限攻击者可借此破坏 Unified Audit。若成功攻击此漏洞，则可导致在未经授权的情况下更新、插入或删除某些 Unified Audit 可访问数据的访问权限。(CVE-2025-61749)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。