A Oracle lançou a Atualização Crítica de Patches (CPU) de janeiro de 2025, resolvendo 318 falhas de segurança em seus principais produtos e serviços. Entre elas, destaca-se a CVE-2025-21556, com pontuação CVSS 9.9, que afeta o Oracle Agile Product Lifecycle Management (PLM) Framework. Essa vulnerabilidade permite que atacantes com privilégios baixos assumam o controle de instâncias vulneráveis via HTTP.

Além disso, a Oracle abordou outra falha no mesmo produto, CVE-2024-21287 (CVSS 7.5), relatada em novembro de 2024 e alvo de exploração ativa. Ambas afetam a versão 9.3.6 do PLM Framework. A empresa recomenda fortemente que os clientes apliquem os patches incluídos nesta atualização.

Outras falhas críticas corrigidas incluem:

• CVE-2025-21524: No componente de Monitoramento e Diagnóstico do JD Edwards EnterpriseOne Tools.
• CVE-2023-3961: No E1 Dev Platform Tech (Samba).
• CVE-2024-23807: No parser XML Apache Xerces C++ do Oracle Agile Engineering Data Management.
• CVE-2023-46604: No Apache ActiveMQ do Oracle Communications Diameter Signaling Router.
• CVE-2024-45492: No parser XML (libexpat) usado em vários produtos.
• CVE-2024-56337: No Apache Tomcat do Oracle Communications Policy Management.
• CVE-2025-21535: No Core do Oracle WebLogic Server, com risco semelhante ao CVE-2020-2883 (CVSS 9.8), que foi recentemente incluído no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA.

Também foi corrigida a falha CVE-2024-37371 (CVSS 9.1), que afeta o Kerberos 5 no Communications Billing and Revenue Management, podendo permitir leitura inválida de memória. A Oracle ainda lançou 285 patches para o Oracle Linux, cobrindo uma ampla gama de vulnerabilidades. Os usuários são fortemente incentivados a aplicar as atualizações para evitar riscos de segurança e garantir a proteção de seus sistemas.