
Oracle mendesak pelanggan untuk menerapkan Pembaruan Patch Kritis (CPU) Januari 2025 untuk mengatasi 318 kerentanan keamanan baru yang mencakup produk dan layanannya.
Kelemahan yang paling parah adalah bug di Oracle Agile Product Lifecycle Management (PLM) Framework (CVE-2025-21556, skor CVSS: 9.9) yang memungkinkan penyerang mengambil kendali atas instance yang rentan.
“Kerentanan yang mudah dieksploitasi memungkinkan penyerang dengan hak istimewa rendah dengan akses jaringan melalui HTTP untuk menyusupi Oracle Agile PLM Framework,” menurut deskripsi lubang keamanan di NIST National Vulnerability Database (NVD).

Perlu dicatat bahwa Oracle memperingatkan upaya eksploitasi aktif terhadap kelemahan lain pada produk yang sama (CVE-2024-21287, skor CVSS: 7.5) pada November 2024. Kedua kerentanan tersebut memengaruhi Oracle Agile PLM Framework versi 9.3.6.
“Pelanggan sangat disarankan untuk menerapkan Pembaruan Patch Kritis Januari 2025 untuk Oracle Agile PLM Framework karena ini mencakup patch untuk [CVE-2024-21287] serta patch tambahan,” kata Eric Maurice, wakil presiden Jaminan Keamanan di Oracle.
Beberapa kelemahan tingkat keparahan kritis lainnya, semuanya diberi nilai 9,8 pada skor CVSS, yang ditangani oleh Oracle adalah sebagai berikut –
- CVE-2025-21524 – Kerentanan dalam komponen Monitoring dan Diagnostik SEC dari JD Edwards EnterpriseOne Tools
- CVE-2023-3961 – Kerentanan dalam komponen E1 Dev Platform Tech (Samba) dari JD Edwards EnterpriseOne Tools
- CVE-2024-23807 – Kerentanan dalam komponen parser Apache Xerces C++ XML dari Oracle Agile Engineering Data Management
- CVE-2023-46604 – Kerentanan dalam komponen Apache ActiveMQ dari Oracle Communications Diameter Signaling Router
- CVE-2024-45492 – Kerentanan dalam komponen parser XML (libexpat) Direktur Data Analisis Jaringan Komunikasi Oracle, Platform Deteksi Perilaku Layanan Keuangan, Edisi Perusahaan Anti Pencucian Uang Berbasis Perdagangan Layanan Keuangan, dan Server HTTP
- CVE-2024-56337 – Kerentanan dalam komponen server Apache Tomcat dari Oracle Communications Policy Management
- CVE-2025-21535 – Kerentanan pada komponen Inti Oracle WebLogic Server
- CVE-2016-1000027 – Kerentanan dalam komponen Spring Framework dari Oracle BI Publisher
- CVE-2023-29824 – Kerentanan dalam komponen Analytics Server (SciPy) Oracle Business Intelligence Enterprise Edition

CVE-2025-21535 juga mirip dengan CVE-2020-2883 (skor CVSS: 9.8), kerentanan keamanan penting lainnya di Oracle WebLogic Server yang dapat dieksploitasi oleh penyerang tidak berkepentingan dengan akses jaringan melalui IIOP atau T3.
Awal bulan ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan CVE-2020-2883 ke dalam katalog Kerentanan yang Diketahui (KEV), mengutip bukti adanya eksploitasi aktif di alam liar.
Yang juga ditangani oleh Oracle adalah CVE-2024-37371 (skor CVSS: 9.1), kelemahan penting Kerberos 5 yang memengaruhi Penagihan Komunikasi dan Manajemen Pendapatan yang dapat mengizinkan penyerang “menyebabkan pembacaan memori tidak valid dengan mengirimkan token pesan dengan bidang panjang yang tidak valid.”
Pengguna disarankan untuk menerapkan patch yang diperlukan untuk menjaga sistem mereka tetap mutakhir dan menghindari potensi risiko keamanan.