Beveiligingsadvies NCSC-2025-0131 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle JD Edwards
Kwetsbaarheden Opgelost in Oracle JD Edwards
Het National Cyber Security Centre (NCSC) heeft officieel een beveiligingsadvies gepubliceerd dat verduidelijkt dat verschillende beveiligingslekken in Oracle JD Edwards zijn verholpen. Deze mededeling kan in platte tekst, PDF, en CSAF (Common Security Advisory Framework) worden bekeken en gedownload. De details in deze mededeling zijn belangrijk voor beveiligingsprofessionals die de beveiliging van hun systemen willen verbeteren.
Overzicht van de Aangetroffen Kwetsbaarheden
-
Use After Free: Dit probleem doet zich voor wanneer programma’s proberen toegang te krijgen tot geheugen dat al is vrijgegeven, wat kan leiden tot onvoorspelbaar gedrag of crashes.
-
Cross-Site Scripting (XSS): Onjuiste neutralisatie van input tijdens de webpagina-generatie kan kwaadwillenden in staat stellen scripts in te voegen, waardoor ze controle kunnen krijgen over een gebruikerssessie of gevoelige informatie kunnen bemachtigen.
-
Dependency op Kwetsbare Derde-componenten: Bij gebruik van externe modules of bibliotheken met bekende beveiligingsproblemen, kan dit een systeem kwetsbaar maken voor aanvallen die preventief zouden kunnen worden vermeden.
-
Ongeautoriseerde Toegang tot Gevoelige Informatie: Sommige kwetsbaarheden kunnen resulteren in toegang tot gevoelige bedrijfsgegevens door niet-geautoriseerde actoren, wat ernstige privacy- en veiligheidsschendingen kan veroorzaken.
-
Oneindige Lussen: Lussen die zijn geschreven zonder een haalbare exit-conditie kunnen leiden tot het vastlopen van toepassingen of overbelasting van systemen.
-
Onjuiste Beperkingen binnen Geheugenbuffer: Gebrek aan controle bij gegevensoperaties binnen de beoogde geheugenlimieten kan tot programma- of systeemcrashes leiden en is een bekend doelwit voor aanvallen zoals buffer overflow.
-
Ongecontroleerde Hulpbronnenconsumptie: Dit kan leiden tot verminderde prestaties of zelfs volledige uitval van het systeem wanneer een applicatie overmatig veel systeembronnen verbruikt.
Omschrijving van het Probleem
De kwetsbaarheden zijn aangetroffen in JD Edwards EnterpriseOne Tools, met specifieke impact op versies 9.2.0.0 tot en met 9.2.9.2. Zonder de juiste authenticatie kunnen kwaadwillenden via HTTP toegang krijgen tot systemen, wat kan leiden tot datalekken, manipulatie van gegevens of zelfs volledige systeembedreigingen. Een aantal van deze problemen kan tot gedeeltelijke of volledige Denial of Service (DoS) leiden, waarbij gebruikersinteractie vereist is.
Bereik van de Kwetsbaarheden
De door Oracle geïdentificeerde kwetsbaarheden hebben betrekking op de volgende producten:
- Platforms: Vrijwel elke configuratie waarbij JD Edwards wordt gebruikt.
- Producten: JD Edwards EnterpriseOne Tools versies tussen 9.2.0.0 en 9.2.9.2.
Oplossingen en Aanbevelingen
Oracle heeft een serie updates uitgebracht die deze kwetsbaarheden mitigeren. Het is sterk aanbevolen om deze updates zo snel mogelijk te implementeren. Meer informatie en richtlijnen zijn beschikbaar via de officiële Oracle Security Alerts.
Gerapporteerde CVE’s
Verschillende Common Vulnerabilities and Exposures (CVE’s) zijn geïdentificeerd:
- CVE-2024-5535
- CVE-2024-23807
- CVE-2024-25710
- CVE-2024-45613
- CVE-2024-47554
- CVE-2025-21586
- CVE-2025-30709
- CVE-2025-30740
NCSC verstrekt deze informatie als richtlijn voor beveiligingsprofessionals. Ondanks de zorgvuldigheid waarmee deze advisering is opgesteld, garandeert NCSC niet dat de informatie volledig of actueel is. Gebruikers van dit advies accepteren dat het NCSC niet verantwoordelijk is voor enige schade als gevolg van het gebruik. De juridische context valt onder de Nederlandse wetgeving, en geschillen worden behandeld door de rechtbank in Den Haag.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----