Síntesis
Oracle ha publicado su actualización de parche crítico de enero, que aborda 389 vulnerabilidades en múltiples productos, incluidas 18 con una clasificación de gravedad de “crítica”. Entre estos, algunos podrían ser explotados para realizar operaciones no autorizadas o comprometer la disponibilidad del servicio en los sistemas objetivo.
Nota (actualizada el 25/02/2025): La vulnerabilidad CVE-2024-20953 se está explotando activamente en línea.
Nota (actualizada el 06/02/2024): Un Proof of Concept (PoC) para explotar la vulnerabilidad CVE-2024-20931 está disponible en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: Medio (62,3)
Tipología
- Data Manipulation
- Denial of Service
- Elevation of Privilege
- Information Disclosure
- Remote Code Execution
- Security Restriction Bypass
Productos y versiones afectados
Oracle
- Analytics
- Audit Vault and Database Firewall
- Big Data Spatial and Graph
- Commerce
- Communications
- Communications Applications
- Construction and Engineering
- Database Server
- E-Business Suite
- Enterprise Manager
- Essbase
- Financial Services Applications
- Fusion Middleware
- Global Lifecycle Management
- GoldenGate
- Graph Server and Client
- Hyperion
- Java SE
- JD Edwards
- MySQL
- NoSQL Database
- PeopleSoft
- REST Data Services
- Retail Applications
- Secure Backup
- Siebel CRM
- SQL Developer
- Supply Chain
- Systems
- TimesTen In-Memory Database
- Utilities Applications
Acciones de mitigación
De acuerdo con las declaraciones de los proveedores, se recomienda actualizar los productos a la última versión disponible.
Para mayor información sobre los productos afectados y los métodos de intervención, recomendamos consultar el boletín de seguridad disponible en la sección Referencias.
Los siguientes son solo los CVE para vulnerabilidades con una gravedad de “crítica”:
Referencias
https://www.oracle.com/security-alerts/cpujan2024.html
https://www.oracle.com/security-alerts/cpujan2024verbose.html
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
