甲骨文公司于7月15日發(fā)布2025年7月關(guān)鍵補(bǔ)丁更新，為其廣泛的產(chǎn)品組合修復(fù)了309個(gè)安全漏洞。此次季度安全更新是近年來(lái)最全面的補(bǔ)丁之一，針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)、中間件、云應(yīng)用和企業(yè)軟件中的關(guān)鍵缺陷，這些漏洞可能使企業(yè)面臨嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

本次更新涉及34個(gè)主要產(chǎn)品系列，其中甲骨文通信產(chǎn)品獲得最多補(bǔ)?。?12個(gè)漏洞），其次是MySQL（40個(gè)補(bǔ)?。┖图坠俏娜诤现虚g件組件。

核心要點(diǎn)

• 甲骨文為34款產(chǎn)品修復(fù)309個(gè)漏洞，其中145個(gè)無(wú)需認(rèn)證即可遠(yuǎn)程利用
• 甲骨文數(shù)據(jù)庫(kù)和APEX面臨嚴(yán)重漏洞CVE-2025-30751（CVSS 8.8）和CVE-2025-50067（CVSS 9.0），可能導(dǎo)致系統(tǒng)淪陷
• Java SE、WebLogic Server和MySQL獲得多個(gè)影響企業(yè)運(yùn)營(yíng)的高危補(bǔ)丁
• 應(yīng)立即應(yīng)用補(bǔ)丁——部分漏洞已被利用，131個(gè)高危漏洞需優(yōu)先處理

最值得關(guān)注的是145個(gè)無(wú)需認(rèn)證即可遠(yuǎn)程利用的漏洞，這意味著攻擊者無(wú)需有效憑證就可能入侵系統(tǒng)。

各產(chǎn)品漏洞修復(fù)數(shù)量統(tǒng)計(jì)

數(shù)據(jù)庫(kù)、APEX和Java的關(guān)鍵漏洞

甲骨文旗艦數(shù)據(jù)庫(kù)產(chǎn)品在此次更新中面臨重大安全挑戰(zhàn)。最嚴(yán)重的數(shù)據(jù)庫(kù)漏洞CVE-2025-30751 CVSS評(píng)分為8.8，影響甲骨文數(shù)據(jù)庫(kù)服務(wù)器19.3-19.27和23.4-23.8版本。這種基于網(wǎng)絡(luò)的攻擊只需低權(quán)限且無(wú)需用戶交互，可能使攻擊者獲得對(duì)數(shù)據(jù)庫(kù)系統(tǒng)機(jī)密性、完整性和可用性的高級(jí)訪問(wèn)權(quán)限。

甲骨文應(yīng)用快速開(kāi)發(fā)工具(APEX)用戶面臨更嚴(yán)重的威脅CVE-2025-50067，CVSS評(píng)分高達(dá)9.0。該漏洞影響Strategic Planner Starter App組件，攻擊者通過(guò)基于網(wǎng)絡(luò)的攻擊，在極少用戶交互情況下即可實(shí)現(xiàn)完全系統(tǒng)控制。

Java生態(tài)系統(tǒng)也獲得11個(gè)新安全補(bǔ)丁。關(guān)鍵漏洞如CVE-2025-50059（CVSS 8.6）和CVE-2025-30749（CVSS 8.1）影響多個(gè)Java版本（包括Oracle GraalVM實(shí)現(xiàn)）的網(wǎng)絡(luò)和2D組件，可能導(dǎo)致Java應(yīng)用程序中的遠(yuǎn)程代碼執(zhí)行，特別是運(yùn)行沙箱小程序或Web Start應(yīng)用程序的環(huán)境。

企業(yè)應(yīng)用與云服務(wù)漏洞

甲骨文企業(yè)中間件面臨重大安全挑戰(zhàn)，WebLogic Server獲得8個(gè)漏洞補(bǔ)丁，包括影響T3和IIOP協(xié)議的嚴(yán)重漏洞CVE-2025-30762。融合中間件組件包含多個(gè)Apache Commons BeanUtils漏洞（CVE-2025-48734，CVSS 8.8），可能導(dǎo)致企業(yè)應(yīng)用中的遠(yuǎn)程代碼執(zhí)行。

MySQL數(shù)據(jù)庫(kù)生態(tài)系統(tǒng)需立即關(guān)注40個(gè)安全補(bǔ)丁，涉及從服務(wù)器核心功能到集群機(jī)制等多個(gè)組件。值得注意的漏洞包括影響DML操作的CVE-2025-50076和CVE-2025-50078，以及可能導(dǎo)致拒絕服務(wù)條件的優(yōu)化器相關(guān)缺陷。

甲骨文強(qiáng)烈建議客戶立即應(yīng)用這些補(bǔ)丁，特別是處理敏感數(shù)據(jù)或面向互聯(lián)網(wǎng)運(yùn)行的系統(tǒng)。公司指出部分漏洞已被實(shí)際利用，未應(yīng)用先前安全更新的組織已報(bào)告成功攻擊案例。

下一次關(guān)鍵補(bǔ)丁更新計(jì)劃于2025年10月21日發(fā)布，隨后將在2026年1月、4月和7月進(jìn)行季度更新。企業(yè)應(yīng)建立系統(tǒng)化的補(bǔ)丁管理流程應(yīng)對(duì)這些周期性安全挑戰(zhàn)。系統(tǒng)管理員應(yīng)根據(jù)CVSS評(píng)分優(yōu)先處理補(bǔ)丁，131個(gè)高危漏洞（7.0+）需立即關(guān)注，特別是影響數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器和可能作為復(fù)雜網(wǎng)絡(luò)攻擊入口點(diǎn)的互聯(lián)網(wǎng)暴露組件。