Zraniteľnosť v Oracle E-Business Suite

Spoločnosť Oracle vydala bezpečnostnú aktualizáciu na svoj produkt E-Business Suite, ktorá opravuje vysoko závažnú zraniteľnosť. CVE-2025-61884 by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na kompromitáciu Oracle Configurator a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

• Oracle E-Business Suite 12.2.3-12.2.14

Opis činnosti:

CVE-2025-61884 (CVSS v3.1 skóre 7,5)

Vysoko závažná zraniteľnosť v komponente Runtime UI aplikácie Oracle Configurator, ktorá je súčasťou Oracle E-Business Suite. Neautentifikovaný útočník so sieťovým prístupom môže jej zneužitím cez protokol HTTP získať prístup k citlivým informáciám, resp. všetkým dátam dostupným pre Oracle Configurator. Bližšie informácie o zraniteľnosti neboli zverejnené.

Aktuálne prebieha kampaň šíriaca ransomvér Clop na zákazníkov Oracle. Jej súvis so zraniteľnosťou však nebol zatiaľ potvrdený.

Možné škody:

• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia na opravené verzie podľa dokumentácie spoločnosti Oracle.

Odkazy:

• https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-61884
• https://arcticwolf.com/resources/blog/cve-2025-61884/