Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Oracle Java SE (CVE-2025-30691)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
15/04/2025
Última modificación:
23/06/2025

Descripción

Vulnerabilidad en Oracle Java SE (componente: Compilador). Las versiones compatibles afectadas son Oracle Java SE: 21.0.6, 24; Oracle GraalVM para JDK: 21.0.6 y 24. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE. Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de Oracle Java SE, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Nota: Esta vulnerabilidad puede explotarse mediante el uso de las API del componente especificado, por ejemplo, a través de un servicio web que suministra datos a las API. Esta vulnerabilidad también afecta a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código proveniente de internet) y dependen del entorno aislado de Java para su seguridad. Puntuación base de CVSS 3.1: 4.8 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oracle:graalvm_for_jdk:21.0.6:*:*:*:*:*:*:*
cpe:2.3:a:oracle:graalvm_for_jdk:24:*:*:*:*:*:*:*
cpe:2.3:a:oracle:jdk:21.0.6:*:*:*:*:*:*:*
cpe:2.3:a:oracle:jdk:24:*:*:*:*:*:*:*
cpe:2.3:a:oracle:jre:21.0.6:*:*:*:*:*:*:*
cpe:2.3:a:oracle:jre:24:*:*:*:*:*:*:*
cpe:2.3:o:netapp:bootstrap_os:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*