Este boletín para IBM SDK, Java Technology Edition, abarca todos los CVE de Java SE aplicables publicados por Oracle como parte de su Actualización de Parches Críticos de abril de 2025.
Productos afectados
Versiones 7.1, 7.0.2 y 7.0.3 para:
- IBM Engineering Requirements Management DOORS Next
- Global Configuration Management
- Jazz Foundation
- IBM Engineering Workflow Management
- IBM Engineering Lifecycle Optimization – Publishing
- IBM Jazz Reporting Service
- IBM Engineering Test Management
- IBM Engineering Lifecycle Optimization – Engineering Insights
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-21587: con una puntuación de 7.4 en CVSS v3.1. Existe una vulnerabilidad no especificada en Java SE relacionada con el componente Server: DDL que podría permitir que un actor malicioso remoto cause un impacto de alta confidencialidad e integridad.
CVE-2025-4447: con una puntuación de 7.0 en CVSS v3.1. Existe una vulnerabilidad en versiones de Eclipse OpenJ9 hasta la 0.51, al usar OpenJDK versión 8, donde se puede producir un desbordamiento de búfer basado en la pila al modificar un archivo en disco que se lee al iniciar la JVM.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://www.ibm.com/support/pages/node/7233417
https://nvd.nist.gov/vuln/detail/CVE-2025-21587
https://nvd.nist.gov/vuln/detail/CVE-2025-4447
https://www.ibm.com/support/pages/node/7234762