Oracle GoldenGate for Big Data 多個弱點 23.x < 23.9.0.25.07 (2025 年 7 月 CPU)

critical Nessus Plugin ID 242270

語言:

概要

遠端主機上的 Oracle GoldenGate for Big Data 應用程式受到多個弱點影響。

說明

根據應用程式自我報告的版本號碼，遠端主機上的 Oracle GoldenGate for Big Data 應用程式受到多個弱點影響。

- Oracle GoldenGate 的 Oracle GoldenGate Big Data and Application Adapters 產品中的弱點 (元件: Java Delivery (Netty))。受影響的支援版本是 23.4-23.7。利用此弱點的難度較高，經由 TLS 存取網路的未經驗證攻擊者可藉此入侵 Oracle GoldenGate Big Data and Application Adapters。若成功攻擊此弱點，可能導致未經授權即可造成 Oracle GoldenGate Big Data and Application Adapters 部分拒絕服務 (部分 DOS)。(CVE-2025-24970)

- Oracle GoldenGate 的 Oracle GoldenGate Stream Analytics 產品中的弱點 (元件: Stream Analytics (Netty))。利用此弱點的難度較高，允許擁有低特權且能存取執行 Oracle GoldenGate Stream Analytics 之硬體所連接的實體通訊區段的攻擊者，入侵 Oracle GoldenGate Stream Analytics。若成功攻擊此弱點，則可能導致在未經授權的情況下造成 Oracle GoldenGate Stream Analytics 懸置或經常重複性當機 (完全 DOS)。(CVE-2025-25193)

- Oracle GoldenGate 的 Oracle GoldenGate Big Data and Application Adapters 產品中的弱點 (元件: Java Delivery (Apache HttpClient))。受影響的支援版本是 23.4-23.6。利用此弱點的難度較低，經由 HTTPS 存取網路的未經驗證攻擊者可藉此入侵 Oracle GoldenGate Big Data and Application Adapters。若成功攻擊此弱點，攻擊者可在未經授權的情況下，建立、刪除或修改重要資料或所有 Oracle GoldenGate Big Data and Application Adapters 可存取資料。(CVE-2025-27820)

- Oracle GoldenGate 的 Oracle GoldenGate Big Data and Application Adapters 產品中存在深度安全性問題 (元件: GoldenGate Big Data and Application Adapter (Apache Parchet Java))。無法在此產品的內容中惡意利用此弱點。(CVE-2025-30065)

- Apache Parquet 1.15.0 及先前版本的 parquet-avro 模組中的配置剖析允許惡意執行者執行任意程式碼。雖然 1.15.1 已引入修復來限制不受信任的套件，但受信任套件的預設設定仍允許執行這些套件中的惡意類別。此弱點僅在 parchet-avro 的用戶端程式碼刻意使用「specific」或「reflect」模型來讀取 Parchet 檔案時才會受到影響; 若使用的是「generic」模型，則不受影響。(CVE-2025-46762)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。