Vulnerabilidad en Oracle Java SE (CVE-2025-30691)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
15/04/2025
Última modificación:
23/06/2025
Descripción
Vulnerabilidad en Oracle Java SE (componente: Compilador). Las versiones compatibles afectadas son Oracle Java SE: 21.0.6, 24; Oracle GraalVM para JDK: 21.0.6 y 24. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE. Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de Oracle Java SE, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Nota: Esta vulnerabilidad puede explotarse mediante el uso de las API del componente especificado, por ejemplo, a través de un servicio web que suministra datos a las API. Esta vulnerabilidad también afecta a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código proveniente de internet) y dependen del entorno aislado de Java para su seguridad. Puntuación base de CVSS 3.1: 4.8 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:oracle:graalvm_for_jdk:21.0.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:graalvm_for_jdk:24:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:21.0.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jdk:24:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:21.0.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:jre:24:*:*:*:*:*:*:* | ||
cpe:2.3:o:netapp:bootstrap_os:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página