Oracle Database Server (2026 年 1 月 CPU)

critical Nessus 插件 ID 296378

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Database Server 版本受到 2026 年 1 月 CPU 公告中提及的多个漏洞影响。

- Oracle Database Server 的 Oracle Spatial and Graph (OpenJPEG) 组件中的漏洞。支持的版本中受影响的是 23.4.0-23.26.0。利用此漏洞的难度较小，低特权或无特权攻击者在成功登录运行 Oracle Spatial and Graph (OpenJPEP) 的基础设施后，可直接危害该组件。除攻击者以外的他人进行交互是实现成功攻击的必要条件。此漏洞若被成功利用，可导致攻击者在未经授权的情况下，对 Oracle Spatial and Graph (OpenJPEG) 造成部分拒绝服务（部分 DOS）。
(CVE-2025-54874)

- Oracle Database Server 的 Fleet Patching and Provisioning (Eclipse Jersey) 组件中的漏洞。
支持的版本中受影响的是 23.4.0-23.26.0。利用此漏洞的难度较高，未经身份验证的攻击者可通过 HTTP 网络访问来危害 Fleet Patching and Provisioning (Eclipse Jersey)。此漏洞若被成功利用，可导致攻击者在未经授权的情况下创建、删除或修改关键数据或所有 Fleet Patching and Provisioning (Eclipse Jersey) 可访问数据，以及未经授权访问关键数据或完整访问所有 Fleet Patching and Provisioning (Eclipse Jersey) 可访问数据。(CVE-2025-12383)

- Oracle Database Server 的 SQLcl 组件中的漏洞。支持的版本中受影响的是 23.4.0-23.26.0。利用此漏洞的难度较高，未经身份验证的攻击者可登录运行 SQLcl 的基础架构，从而破坏 SQLcl。除攻击者以外的他人进行交互是实现成功攻击的必要条件。此漏洞若攻击成功，可导致 SQLcl 被接管。(CVE-2026-21939)

- Oracle Database Server 的 RDBMS (Python) 组件中的漏洞。支持的版本中受影响的是 21.3-21.20 和 23.4.0-23.26.0。利用此漏洞的难度较小，具有“经过身份验证的用户”特权且可登录 RDBMS (Python) 执行所在基础设施的高特权攻击者可借此破坏 RDBMS (Python)。此漏洞若攻击成功，可导致 RDBMS (Python) 被接管。（CVE-2025-13836、CVE-2025-13837、CVE-2025-6069、CVE-2025-6075、CVE-2025-8194、CVE-2025-8291、CVE-2025-8869）

- Oracle Database Server 的 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) 组件中的漏洞。支持的版本中受影响的是 19.3-19.29 和 23.4.0-23.26.0。利用此漏洞的难度较低，未经身份验证的攻击者可通过 Oracle Net 进行网络访问，从而破坏 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT)。此漏洞若被成功利用，可导致攻击者在未经授权的情况下更新、插入或删除某些 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) 可访问数据，并且未经授权读取 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) 可访问数据的子集。(CVE-2025-67735)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。