Eclipse/Oracle - CVE-2025-12383

Date de publication :

Un défaut lié à une exécution concurrente (race condition) dans Eclipse Jersey permet à un attaquant non authentifié, en menant une attaque de type man-in-the-middle, d’intercepter les connexions et de porter atteinte à la confidentialité des données.

CVE-2025-12383

[Score CVSS v3.1: 7.4]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Contournement de la politique de sécurité
Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Eclipse Jersey versions 2.45, 3.0.16 et 3.1.9
Oracle Database - Fleet Patching and Provisioning (Eclipse Jersey) versions comprises entre 23.4.0 et 23.26.0

Solutions ou recommandations

Mettre à jour Eclipse Jersey vers la version 2.46, 3.0.17, 3.1.10, 4.0.0-M2 ou ultérieure.
Appliquer les correctifs de janvier 2026 à Oracle Database.

Des informations complémentaires sont disponibles dans les bulletins d’Eclipse et d'Oracle.

Liens