Oracle 資料庫伺服器 (2026 年 1 月 CPU)

critical Nessus Plugin ID 296378

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Database Server 版本受到 2026 年 1 月 CPU 公告中提及的多個弱點影響。

- Oracle Database Server 的 Oracle Spatial and Graph (OpenJPEG) 元件中存在的弱點。受影響的支援版本是 23.4.0-23.26.0。此弱點可輕易攻擊成功，沒有特權的低權限攻擊者可藉此登入 Oracle Spatial and Graph (OpenJPEG) 執行所在的基礎結構，以入侵 Oracle Spatial and Graph (OpenJPEG)。若要成功攻擊，必須有攻擊者以外之他人的互動。成功攻擊此弱點可導致未經授權即可造成 Oracle Spatial and Graph (OpenJPEG) 部分拒絕服務 (部分 DOS)。
(CVE-2025-54874)

- Oracle Database Server 的 Fleet Patching and Provisioning (Eclipse Jersey) 元件存有弱點。
受影響的支援版本是 23.4.0-23.26.0。攻擊此弱點的難度較大，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Fleet Patching and Provisioning (Eclipse Jersey)。若成功攻擊此弱點，則可能導致在未經授權的情況下建立、刪除或修改重要資料或所有 Fleet Patching and Provisioning (Eclipse Jersey) 可存取資料，並在未經授權的情況下存取重要資料或完全存取所有 Fleet Patching and Provisioning (Eclipse Jersey) 可存取資料。(CVE-2025-12383)

- Oracle Database Server 的 SQLcl 元件中存在弱點。受影響的支援版本是 23.4.0-23.26.0。難以惡意利用的弱點，允許未經驗證的攻擊者登入 SQLcl 執行所在的基礎結構以危害 SQLcl。若要成功攻擊，必須有攻擊者以外之他人的互動。如果成功攻擊此弱點，可能導致 SQLcl 被接管。(CVE-2026-21939)

- Oracle Database Server 的 RDBMS (Python) 元件中的弱點。受影響的支援版本是 21.3-21.20 和 23.4.0-23.26.0。這是較容易被利用的弱點，具有「經驗證的使用者」特權且可登入 RDBMS (Python) 執行所在基礎架構的高權限攻擊者可藉此入侵 RDBMS (Python)。若成功攻擊此弱點，則可接管 RDBMS (Python)。(CVE-2025-13836、CVE-2025-13837、CVE-2025-6069、CVE-2025-6075、CVE-2025-8194、CVE-2025-8291、CVE-2025-8869)

- Oracle Database Server 的 Oracle Graal Development Kit for Microaut (Nimbus JOSE+JWT) 元件中存有弱點。受影響的支援版本是 19.3-19.29 和 23.4.0-23.26.0。此弱點可輕易攻擊成功，具有網路存取權的未經驗證攻擊者可利用此弱點透過 Oracle Net 入侵 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT)。成功攻擊此弱點可導致未經授權地更新、插入或刪除某些可供存取之 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) 資料的存取權，以及讀取可供存取之 Oracle Graal Development Kit for Micronaut (Nimbus JOSE+JWT) 資料子集的存取權。(CVE-2025-67735)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。