Oracle E-Business Suite RCE 漏洞导致未经身份验证的黑客获取敏感数据
Oracle 披露了其电子商务套件中的一个严重漏洞,该漏洞允许未经身份验证的攻击者远程访问敏感数据,这给依赖该平台进行核心运营的企业敲响了警钟。 该漏洞编号为 CVE-2025-61884,影响 Oracle Configurator 组件,并在 2025 年 10 月 11 日发布的安全警报中进行了详细说明。 就在几天前,另一个电子商务套件漏洞CVE-2025-61882被利用,凸显了 Oracle 企业资源规划软件中持续存在的安全挑战。 该问题允许黑客绕过HTTP身份验证,从而可能暴露对财务和供应链管理等业务流程至关重要的配置数据。
Oracle 披露了其电子商务套件中的一个严重漏洞,该漏洞允许未经身份验证的攻击者远程访问敏感数据,这给依赖该平台进行核心运营的企业敲响了警钟。
该漏洞编号为 CVE-2025-61884,影响 Oracle Configurator 组件,并在 2025 年 10 月 11 日发布的安全警报中进行了详细说明。
就在几天前,另一个电子商务套件漏洞CVE-2025-61882被利用,凸显了 Oracle 企业资源规划软件中持续存在的安全挑战。
该问题允许黑客绕过HTTP身份验证,从而可能暴露对财务和供应链管理等业务流程至关重要的配置数据。
Oracle E-Business Suite RCE漏洞
CVE-2025-61884 位于 Oracle Configurator 的运行时 UI 中,该模块用于管理 E-Business Suite 中的产品和服务配置。
拥有网络访问权限的攻击者无需凭证即可利用此漏洞,从而实现未经授权的数据检索或枚举。该漏洞源于一种身份验证绕过机制,但为了防止大规模滥用,受影响的端点等具体技术细节仍未公开。
Oracle 对该漏洞的 CVSS 3.1 基本评分为 7.5,由于其易于利用,将其归类为高危漏洞。该漏洞并未提及任何外部研究人员,这表明该漏洞是由 Oracle 安全团队内部发现的。
下表总结了该漏洞的关键方面:
这种结构化的细分强调了威胁的远程、未经身份验证的性质,使得任何面向互联网的部署都可以访问它。
成功利用该漏洞,黑客可以完全访问所有 Oracle Configurator 数据,包括推动运营决策的敏感业务配置。
对于制造业或零售业等行业的组织来说,这意味着专有模型、定价策略和客户详细信息的暴露,可能会导致竞争劣势或违反监管规定。
高机密性影响且不影响完整性或可用性,使其成为数据泄露载体而非破坏性攻击。
鉴于近期Cl0p等勒索软件组织利用 CVE-2025-61882 漏洞,安全专家警告称,CVE-2025-61884 也可能遭受类似攻击,尤其是在类似漏洞的概念验证(POC)不断流传的情况下。拥有未打补丁的电子商务套件实例的企业将面临更高的风险,尤其是在暴露于公共互联网的情况下。
缓解措施
Oracle 敦促立即应用针对版本 12.2.3 至 12.2.14 发布的补丁,这些补丁可通过 Premier 或 Extended Support 下的支持版本的安全警报程序获取。
使用旧版本的客户应该升级到维护的分支,因为像 12.1.3 这样的早期版本尽管缺乏测试,也可能存在漏洞。
其他防御措施包括网络分段以限制对配置器 UI 的 HTTP 访问以及监控异常请求。
Oracle 的建议通过支持文档提供了详细的补丁说明,强调了终身支持政策以提供持续保护。
虽然尚未确认该 CVE 遭到主动利用,但快速的电子商务套件攻击模式要求迅速采取行动来保护敏感资源。
该漏洞编号为 CVE-2025-61884,影响 Oracle Configurator 组件,并在 2025 年 10 月 11 日发布的安全警报中进行了详细说明。
就在几天前,另一个电子商务套件漏洞CVE-2025-61882被利用,凸显了 Oracle 企业资源规划软件中持续存在的安全挑战。
该问题允许黑客绕过HTTP身份验证,从而可能暴露对财务和供应链管理等业务流程至关重要的配置数据。
Oracle E-Business Suite RCE漏洞
CVE-2025-61884 位于 Oracle Configurator 的运行时 UI 中,该模块用于管理 E-Business Suite 中的产品和服务配置。
拥有网络访问权限的攻击者无需凭证即可利用此漏洞,从而实现未经授权的数据检索或枚举。该漏洞源于一种身份验证绕过机制,但为了防止大规模滥用,受影响的端点等具体技术细节仍未公开。
Oracle 对该漏洞的 CVSS 3.1 基本评分为 7.5,由于其易于利用,将其归类为高危漏洞。该漏洞并未提及任何外部研究人员,这表明该漏洞是由 Oracle 安全团队内部发现的。
下表总结了该漏洞的关键方面:
这种结构化的细分强调了威胁的远程、未经身份验证的性质,使得任何面向互联网的部署都可以访问它。
成功利用该漏洞,黑客可以完全访问所有 Oracle Configurator 数据,包括推动运营决策的敏感业务配置。
对于制造业或零售业等行业的组织来说,这意味着专有模型、定价策略和客户详细信息的暴露,可能会导致竞争劣势或违反监管规定。
高机密性影响且不影响完整性或可用性,使其成为数据泄露载体而非破坏性攻击。
鉴于近期Cl0p等勒索软件组织利用 CVE-2025-61882 漏洞,安全专家警告称,CVE-2025-61884 也可能遭受类似攻击,尤其是在类似漏洞的概念验证(POC)不断流传的情况下。拥有未打补丁的电子商务套件实例的企业将面临更高的风险,尤其是在暴露于公共互联网的情况下。
缓解措施
Oracle 敦促立即应用针对版本 12.2.3 至 12.2.14 发布的补丁,这些补丁可通过 Premier 或 Extended Support 下的支持版本的安全警报程序获取。
使用旧版本的客户应该升级到维护的分支,因为像 12.1.3 这样的早期版本尽管缺乏测试,也可能存在漏洞。
其他防御措施包括网络分段以限制对配置器 UI 的 HTTP 访问以及监控异常请求。
Oracle 的建议通过支持文档提供了详细的补丁说明,强调了终身支持政策以提供持续保护。
虽然尚未确认该 CVE 遭到主动利用,但快速的电子商务套件攻击模式要求迅速采取行动来保护敏感资源。
关于作者
评论0次