Oracle發布2026年1月關鍵修補程式更新，涵蓋多項CVSS滿分重大漏洞

一個多月前，Oracle發布今年首次關鍵修補程式更新（Critical Patch Update），針對Oracle的30款產品系列，揭露158項CVE漏洞與337項安全修補程式，其中涵蓋2項CVSS嚴重性評分10.0滿分的重大漏洞。Oracle強烈建議用戶盡快更新關鍵修補程式，以避免攻擊威脅。

這次Oracle修補的產品包括Oracle Database Server、Oracle Commerce、Oracle JD Edwards、Oracle MySQL、Oracle Access Manager、Oracle Communications、Oracle E-Business Suite、Oracle GoldenGate、Oracle GraalVM、Oracle Healthcare、Oracle Hyperion、Java SE、Oracle PeopleSoft、Oracle Siebel CRM、Oracle Solaris與Oracle VirtualBox等。

這次修補中，包含最多修補程式（56項）的產品是Oracle Zero Data Loss Recovery Appliance產品系列，其次是Oracle Enterprise Manager（51項），以及Oracle E-Business Suite（38項）。

而這次Oracle修補的158項漏洞，涵蓋Oracle產品自身與產品包含的第3方元件漏洞，包括13項CVSS嚴重性評分9.0以上的重大漏洞，67項CVSS評分7.0至8.9之間的高風險漏洞。最嚴重的是2項CVSS 10.0的重大漏洞——CVE-2025-66516與CVE-2026-21962，還有CVSS 9.9分的CVE-2025-49844。

CVE-2025-66516是存在於文件內容分析工具Apache Tika的XML外部實體（XML External Entity，XXE）漏洞，因未適當停用外部實體解析機制，可能導致資訊外洩或遠端檔案讀取風險。Oracle這次更新中，修補6款受該漏洞影響的產品，包括Oracle PeopleSoft、Oracle Commerce、Oracle Communications、Oracle Primavera Unifier、Oracle Business Process Management Suite、Oracle Middleware Common Libraries and Tools等。

CVE-2026-21962存在的產品是Oracle HTTP Server，以及Oracle WebLogic Server Proxy Plug-in，允許未經身分驗證的遠端攻擊者透過HTTP存取受影響服務，可能導致未授權操作或資訊洩露。

CVE-2025-49844是存在於Redis開源資料庫的使用後釋放（Use-After-Free，UAF）漏洞，可能導致記憶體破壞，進而引發遠端程式碼執行或服務中斷風險。Oracle這次修補了含有該漏洞的Oracle Communications Operations Monitor。