摘要:
Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM for JDK: 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM Enterprise Edition: 20.3.14 and 21.3.10. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 3.7 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
安全等级: Low
公告ID: KylinSec-SA-2025-2378
发布日期: 2025年4月28日
关联CVE: CVE-2024-21138
Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品(组件:Hotspot)中存在安全漏洞。受影响的支持版本包括 Oracle Java SE:8u411、8u411-perf、11.0.23、17.0.11、21.0.3、22.0.1;Oracle GraalVM for JDK:17.0.11、21.0.3、22.0.1;Oracle GraalVM Enterprise Edition:20.3.14 和 21.3.10。
该漏洞利用难度较高,允许未经认证的攻击者通过网络,通过多种协议访问并危害 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 造成部分拒绝服务(部分 DOS)的未授权能力。
注:此漏洞可通过指定组件中的 API 进行利用,例如通过向 API 提供数据的 Web 服务。此漏洞也适用于通常运行沙箱化 Java Web Start 应用程序或沙箱化 Java 小程序的客户端 Java 部署,这些部署会加载并运行不受信任的代码(例如来自互联网的代码),并依赖 Java 沙箱来保障安全。
CVSS 3.1 基础评分:3.7(可用性影响)
CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-21138 | KY3.4-5A | openjdk-21 | Unaffected |
| CVE-2024-21138 | V6 | openjdk-21 | Unaffected |
