• 公告ID (KylinSec-SA-2025-2383)

摘要:

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Networking). Supported versions that are affected are Oracle Java SE: 11.0.22, 17.0.10, 21.0.2, 22; Oracle GraalVM for JDK: 17.0.10, 21.0.2, 22; Oracle GraalVM Enterprise Edition: 20.3.13 and 21.3.9. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 3.7 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).

安全等级: Low

公告ID: KylinSec-SA-2025-2383

发布日期: 2025年4月28日

关联CVE: CVE-2024-21012  

  • 详细介绍

1. 漏洞描述

   

Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 产品(组件:网络)中存在安全漏洞。受影响的支持版本包括:

Oracle Java SE:11.0.22、17.0.10、21.0.2、22

Oracle GraalVM for JDK:17.0.10、21.0.2、22

Oracle GraalVM Enterprise Edition:20.3.13 和 21.3.9

该漏洞利用难度较高,允许未经认证的攻击者通过网络,通过多种协议访问并危害 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition。成功利用此漏洞可能导致对 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 可访问数据的未授权更新、插入或删除操作。

注:此漏洞适用于通常运行沙箱化 Java Web Start 应用程序或沙箱化 Java 小程序的客户端 Java 部署,这些部署会加载并运行不受信任的代码(例如来自互联网的代码),并依赖 Java 沙箱来保障安全。此漏洞不适用于通常仅加载和运行受信任代码(例如由管理员安装的代码)的服务器端 Java 部署。

CVSS 3.1 基础评分:3.7(完整性影响)
CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

2. 影响范围

cve名称 产品 组件 是否受影响
CVE-2024-21012 KY3.4-5A openjdk-21 Unaffected
CVE-2024-21012 V6 openjdk-21 Unaffected

3. 影响组件

    无

4. 修复版本

    无

5. 修复方法

   无

6. 下载链接

    无
上一篇:KylinSec-SA-2025-2382 下一篇:KylinSec-SA-2025-2384

产品中心

解决方案

技术支持

生态与合作

分支机构

全国统一服务热线

400-012-6606

微信公众号

Copyright © 湖南麒麟信安科技股份有限公司   版权所有   备案号:湘ICP备16010502号-1

技术支持:蒲公英长沙网站建设