IBM Java 7.1 < 7.1.5.30/8.0 < 8.0.8.65 多個弱點

high Nessus Plugin ID 309972

語言:

概要

IBM Java 受到多個弱點影響。

說明

遠端主機上安裝的 IBM Java 版本為 7.1.5.30 之前的 7.1 / 8.0.8.65 之前的 8.0。因此會受到 Oracle 2026 年 4 月 21 日 CPU 公告中所提及的多個弱點影響。

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：JAXP)。受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-22016)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：JSSE)。受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。此弱點較易攻擊成功，能夠透過 HTTPS 存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版局部拒絕服務 (局部 DOS)。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-22021)

- Oracle Java SE 的 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 產品中存有弱點 (元件JGSS)。受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若要成功攻擊，必須有攻擊者以外之他人的互動。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2026-22013)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Libraries) 受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版局部拒絕服務 (局部 DOS)。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2026-22018)

- Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE8u481、8u481-b50、8u481-perf、 11.0.30、 17.0.18、 21.0.10、 25.0.2、26 Oracle GraalVM for JDK 17.0.18 和 21.0.10
Oracle GraalVM 企業版：21.3.17。難以惡意利用的弱點允許未經驗證的攻擊者登入 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 執行所在的基礎結構以入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。成功攻擊此弱點可導致在未經授權的情況下讀取 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 可存取資料的子集。注意：
使用指定元件中的 API 也可以利用此弱點，例如透過提供資料給 API 的 Web 服務。此弱點也適用於 Java 部署通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中其會載入並執行不受信任的程式碼 (例如來自網際網路的程式碼) 並依賴 Java 沙箱獲得安全性。 (CVE-2026-22007、 CVE-2026-34268)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。