
Oracle insta a los clientes a aplicar su Actualización del parche crítico de enero de 2025 (CPU) para abordar 318 nuevas vulnerabilidades de seguridad que abarca sus productos y servicios.
La más grave de las fallas es un error en el marco Oracle Agile Product Lifecycle Management (PLM) (CVE-2025-21556, puntuación CVSS: 9,9) que podría permitir a un atacante tomar el control de instancias susceptibles.
“Una vulnerabilidad fácilmente explotable permite a atacantes con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Agile PLM Framework”, según un descripción del agujero de seguridad en la Base de datos nacional de vulnerabilidad (NVD) del NIST.
Vale la pena señalar que Oracle advirtió sobre intentos de explotación activa de otra falla en el mismo producto (CVE-2024-21287, puntuación CVSS: 7,5) en noviembre de 2024. Ambas vulnerabilidades afectan a Oracle Agile PLM Framework versión 9.3.6.
“Se recomienda encarecidamente a los clientes que apliquen la actualización del parche crítico de enero de 2025 para Oracle Agile PLM Framework, ya que incluye parches para [CVE-2024-21287] así como parches adicionales”, Eric Maurice, vicepresidente de Garantía de Seguridad de Oracle, dicho.
Algunas de las otras fallas de gravedad críticas, todas con una calificación de 9,8 en la puntuación CVSS, abordadas por Oracle son las siguientes:
- CVE-2025-21524 – Una vulnerabilidad en el componente SEC de Monitoreo y Diagnóstico de JD Edwards EnterpriseOne Tools
- CVE-2023-3961 – Una vulnerabilidad en el componente E1 Dev Platform Tech (Samba) de JD Edwards EnterpriseOne Tools
- CVE-2024-23807 – Una vulnerabilidad en el componente analizador XML Apache Xerces C++ de Oracle Agile Engineering Data Management
- CVE-2023-46604 – Una vulnerabilidad en el componente Apache ActiveMQ del enrutador de señalización de diámetro de comunicaciones de Oracle
- CVE-2024-45492 – Una vulnerabilidad en el componente analizador XML (libexpat) de Oracle Communications Network Analytics Data Director, la plataforma de detección de comportamiento de servicios financieros, la edición empresarial contra el lavado de dinero basada en el comercio de servicios financieros y el servidor HTTP.
- CVE-2024-56337 – Una vulnerabilidad en el componente del servidor Apache Tomcat de Oracle Communications Policy Management
- CVE-2025-21535 – Una vulnerabilidad en el componente Core de Oracle WebLogic Server
- CVE-2016-1000027 – Una vulnerabilidad en el componente Spring Framework de Oracle BI Publisher
- CVE-2023-29824 – Una vulnerabilidad en el componente Analytics Server (SciPy) de Oracle Business Intelligence Enterprise Edition
CVE-2025-21535 también es similar a CVE-2020-2883 (puntuación CVSS: 9,8), otra vulnerabilidad de seguridad crítica en Oracle WebLogic Server que podría ser explotada por un atacante no autenticado con acceso a la red a través de IIOP o T3.
A principios de este mes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2020-2883 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en estado salvaje.
También abordado por Oracle es CVE-2024-37371 (Puntuación CVSS: 9.1), una falla crítica de Kerberos 5 que afecta su facturación de comunicaciones y gestión de ingresos y que podría permitir a un atacante “provocar lecturas de memoria no válidas enviando tokens de mensajes con campos de longitud no válidos”.
El proveedor de servicios de software también tiene liberado actualizaciones de Oracle Linux con 285 nuevos parches de seguridad. Se recomienda a los usuarios que apliquen las correcciones necesarias para mantener sus sistemas actualizados y evitar posibles riesgos de seguridad.





