Oracle Java SE 多個弱點 (2026 年 4 月 CPU)

high Nessus Plugin ID 309197

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Java 版本受到 2026 年 4 月 CPU 公告中所提及的多個弱點影響。

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：JAXP)。受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-22016)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 產品中的弱點 (元件：Networking)。受影響的支援版本是 Oracle Java SE8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10Oracle GraalVM Enterprise Edition 21.3.17。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。
如果成功攻擊此弱點，攻擊者未經授權即可導致 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM 企業版懸置或經常重複性當機 (完全 DOS)。
注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-34282)

- 已透過改善記憶體處理解決此問題。此問題已在 Safari 26.3、iOS 18.7.5 和 iPadOS 18.7.5、iOS 26.3 和 iPadOS 26.3、macOS Tahoe 26.3、visionOS 26.3中修正。遠端攻擊者可能會造成拒絕服務。(CVE-2026-20652)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。