CVE-2025-21587

Nome do Software Vulnerável e Versões Afetadas Versões do Oracle Java SE 8u441, 8u441-perf, 11.0.26, 17.0.14, 21.0.6, 24 Versões do Oracle GraalVM para JDK 17.0.14, 21.0.6, 24 Versões do Oracle GraalVM Enterprise Edition 20.3.17, 21.3.13

Descrição A vulnerabilidade permite que um atacante não autenticado com acesso à rede via múltiplos protocolos comprometa o Oracle Java SE, o Oracle GraalVM para JDK e o Oracle GraalVM Enterprise Edition. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. Isso pode ser explorado mediante o uso de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs. A vulnerabilidade também se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox Java para segurança.

Recomendações Para as versões do Oracle Java SE 8u441, 8u441-perf, 11.0.26, 17.0.14, 21.0.6, 24, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para as versões do Oracle GraalVM para JDK 17.0.14, 21.0.6, 24, atualize para uma versão que inclua a correção para esta vulnerabilidade. Para as versões do Oracle GraalVM Enterprise Edition 20.3.17, 21.3.13, atualize para uma versão que inclua a correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao componente JSSE até que um patch esteja disponível. Evite usar APIs no componente JSSE para fornecer dados a serviços web até que a vulnerabilidade seja resolvida.