甲骨文发布关键安全更新：修复309个漏洞，其中145个可远程利用
2025-07-18   FreeBuf

甲骨文公司于7月15日发布2025年7月关键补丁更新，为其广泛的产品组合修复了309个安全漏洞。此次季度安全更新是近年来最全面的补丁之一，针对数据库系统、中间件、云应用和企业软件中的关键缺陷，这些漏洞可能使企业面临严重的网络攻击风险。

本次更新涉及34个主要产品系列，其中甲骨文通信产品获得最多补丁（112个漏洞），其次是MySQL（40个补丁）和甲骨文融合中间件组件。

核心要点

• 甲骨文为34款产品修复309个漏洞，其中145个无需认证即可远程利用
• 甲骨文数据库和APEX面临严重漏洞CVE-2025-30751（CVSS 8.8）和CVE-2025-50067（CVSS 9.0），可能导致系统沦陷
• Java SE、WebLogic Server和MySQL获得多个影响企业运营的高危补丁
• 应立即应用补丁——部分漏洞已被利用，131个高危漏洞需优先处理

最值得关注的是145个无需认证即可远程利用的漏洞，这意味着攻击者无需有效凭证就可能入侵系统。

各产品漏洞修复数量统计

数据库、APEX和Java的关键漏洞

甲骨文旗舰数据库产品在此次更新中面临重大安全挑战。最严重的数据库漏洞CVE-2025-30751 CVSS评分为8.8，影响甲骨文数据库服务器19.3-19.27和23.4-23.8版本。这种基于网络的攻击只需低权限且无需用户交互，可能使攻击者获得对数据库系统机密性、完整性和可用性的高级访问权限。

甲骨文应用快速开发工具(APEX)用户面临更严重的威胁CVE-2025-50067，CVSS评分高达9.0。该漏洞影响Strategic Planner Starter App组件，攻击者通过基于网络的攻击，在极少用户交互情况下即可实现完全系统控制。

Java生态系统也获得11个新安全补丁。关键漏洞如CVE-2025-50059（CVSS 8.6）和CVE-2025-30749（CVSS 8.1）影响多个Java版本（包括Oracle GraalVM实现）的网络和2D组件，可能导致Java应用程序中的远程代码执行，特别是运行沙箱小程序或Web Start应用程序的环境。

企业应用与云服务漏洞

甲骨文企业中间件面临重大安全挑战，WebLogic Server获得8个漏洞补丁，包括影响T3和IIOP协议的严重漏洞CVE-2025-30762。融合中间件组件包含多个Apache Commons BeanUtils漏洞（CVE-2025-48734，CVSS 8.8），可能导致企业应用中的远程代码执行。

MySQL数据库生态系统需立即关注40个安全补丁，涉及从服务器核心功能到集群机制等多个组件。值得注意的漏洞包括影响DML操作的CVE-2025-50076和CVE-2025-50078，以及可能导致拒绝服务条件的优化器相关缺陷。

甲骨文强烈建议客户立即应用这些补丁，特别是处理敏感数据或面向互联网运行的系统。公司指出部分漏洞已被实际利用，未应用先前安全更新的组织已报告成功攻击案例。

下一次关键补丁更新计划于2025年10月21日发布，随后将在2026年1月、4月和7月进行季度更新。企业应建立系统化的补丁管理流程应对这些周期性安全挑战。系统管理员应根据CVSS评分优先处理补丁，131个高危漏洞（7.0+）需立即关注，特别是影响数据库服务器、应用服务器和可能作为复杂网络攻击入口点的互联网暴露组件。