VDB-329145 · CVE-2025-61748 · Nessus 271096

Oracle Java SE/GraalVM for JDK/GraalVM Enterprise Edition Libraries erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.6	$0-$5k	0.00

Zusammenfassunginfo

In Oracle Java SE, GraalVM for JDK and GraalVM Enterprise Edition wurde eine kritische Schwachstelle gefunden. Es ist betroffen eine unbekannte Funktion der Komponente Libraries. Mittels Manipulieren mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2025-61748 gehandelt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine Schwachstelle in Oracle Java SE, GraalVM for JDK sowie GraalVM Enterprise Edition - die betroffene Version ist nicht klar definiert - ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code der Komponente Libraries. Durch die Manipulation mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-284 vorgenommen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Libraries). Supported versions that are affected are Oracle Java SE: 21.0.8 and 25; Oracle GraalVM for JDK: 21.0.8; Oracle GraalVM Enterprise Edition: 21.3.15. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 3.7 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).

Bereitgestellt wird das Advisory unter oracle.com. Die Identifikation der Schwachstelle wird seit dem 30.09.2025 mit CVE-2025-61748 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 11.06.2026). Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 271096 (Azul Zulu Java Multiple Vulnerabilities (2025-10-21)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Aktualisieren vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (271096) und CERT Bund (WID-SEC-2025-2365) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Betroffen

IBM MQ
NetApp ActiveIQ Unified Manager
IBM SPSS
Hitachi Command Suite
Hitachi Ops Center
IBM TXSeries
IBM Sterling Connect:Direct
IBM DB2
IBM Rational Application Developer for WebSphere Software
Oracle Java SE
Amazon Corretto
IBM Java
IBM Semeru Runtime
IBM Tivoli Netcool/OMNIbus
Dell NetWorker
Open Source Camunda
RealObjects PDFreactor
IBM License Metric Tool
IBM DataPower Gateway
IBM Security Verify Access
IBM Rational Software Architect
IBM Cognos Analytics
Debian Linux
Amazon Linux 2
IBM InfoSphere Information Server
Open Source OpenJDK
Red Hat Enterprise Linux
IBM WebSphere Application Server
Ubuntu Linux
SUSE Linux
Oracle Linux
IBM Tivoli Monitoring
IBM Integration Bus
IBM Tivoli Network Manager
IBM Tivoli Business Service Manager
IBM Business Automation Workflow
Hitachi Configuration Manager
IBM QRadar SIEM
IBM Rational Business Developer
IBM Tivoli Key Lifecycle Manager
SUSE openSUSE
RESF Rocky Linux
IBM App Connect Enterprise
Xerox FreeFlow Print Server

Produktinfo

Typ

Programming Language Software

Hersteller

Oracle

Name

Lizenz

Open-Source

Webseite

Hersteller: https://www.oracle.com

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.7
VulDB Meta Temp Score: 4.6

VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 3.7
CNA Vector (oracle): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 271096
Nessus Name: Azul Zulu Java Multiple Vulnerabilities (2025-10-21)

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Timelineinfo

30.09.2025 CVE zugewiesen
22.10.2025 +22 Tage Advisory veröffentlicht
22.10.2025 +0 Tage VulDB Eintrag erstellt
11.06.2026 +232 Tage VulDB Eintrag letzte Aktualisierung