官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Oracle 近日披露其 E-Business Suite 存在一个高危漏洞,可使未经身份验证的攻击者远程访问敏感数据,这对依赖该平台开展核心业务的企业敲响了警钟。
该漏洞编号为 CVE-2025-61884,影响 Oracle Configurator 组件,Oracle 在 2025 年 10 月 11 日发布的安全警报中详细说明了该漏洞。就在几天前,另一个 E-Business Suite 漏洞(CVE-2025-61882)刚被利用,凸显了 Oracle 企业资源规划软件持续面临的安全挑战。
攻击者可利用该漏洞绕过 HTTP 身份验证,可能泄露对财务和供应链管理等业务流程至关重要的配置数据。
漏洞技术细节
CVE-2025-61884 存在于 Oracle Configurator 的 Runtime UI 模块中,该模块用于管理 E-Business Suite 内的产品和服务配置。具有网络访问权限的攻击者无需凭证即可利用此漏洞,导致未授权数据检索或枚举。该漏洞源于身份验证绕过机制,但 Oracle 未披露受影响端点等具体技术细节以防止大规模滥用。
Oracle 为其评定的 CVSS 3.1 基础分为 7.5 分,由于易于利用,将其归类为高危漏洞。Oracle 未将此漏洞归功于外部研究人员,表明是其安全团队内部发现的。
下表总结了该漏洞的关键信息:
| CVE ID | 受影响组件 | 协议 | CVSS 基础分 | 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 | 受影响版本 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-61884 | Oracle Configurator (Runtime UI) | HTTP | 7.5 | 网络 | 低 | 无 | 无 | 未改变 | 高 | 无 | 无 | 12.2.3-12.2.14 |
该结构化分析凸显了该威胁的远程、未授权特性,任何面向互联网的部署都可能受到影响。
成功利用该漏洞可使攻击者完全访问所有 Oracle Configurator 数据,包括驱动运营决策的敏感业务配置。对于制造业或零售业等行业的组织而言,这意味着专有模型、定价策略和客户详细信息可能被泄露,从而导致竞争劣势或违反法规。
该漏洞对机密性影响高,但对完整性和可用性无影响,因此更可能被用作数据窃取渠道而非破坏性攻击。
鉴于 Cl0p 等勒索软件组织最近利用了 CVE-2025-61882,安全专家警告称 CVE-2025-61884 可能步其后尘,尤其是类似漏洞的 PoC 正在流传的情况下。未打补丁的 E-Business Suite 实例面临更高风险,尤其是那些暴露在公共互联网上的实例。
缓解措施
Oracle 敦促立即为 12.2.3 至 12.2.14 版本应用已发布的补丁,这些补丁可通过 Premier 或 Extended Support 下的安全警报计划获取。使用旧版本的客户应升级到受维护的分支,因为 12.1.3 等早期版本尽管未经测试,也可能存在漏洞。
其他防御措施包括通过网络分段限制对 Configurator UI 的 HTTP 访问,以及监控异常请求。Oracle 的公告通过支持文档提供了详细的补丁说明,并强调了持续保护的 Lifetime Support Policy。
虽然尚未确认该 CVE 被主动利用,但 E-Business Suite 漏洞快速被利用的模式要求企业迅速采取行动以保护敏感资源。
参考来源:
Oracle E-Business Suite RCE Vulnerability Exposes Sensitive Data to Hackers Without Authentication
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)