[TLP:CLEAR] Oracle E-Business Suite opravuje kritickú zraniteľnosť

Oracle opravuje kritickú zraniteľnosť v produkte Oracle E-Business Suite. Pre opravu zraniteľnosti je potrebné sa ubezpečiť, že bola aplikovaná kritická záplata z októbra 2023 a následne vykonať aktualizáciu na najnovšiu verziu [1].

Oracle E-Business Suite - RCE (CVE-2025-61882)
CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi je umožnené pomocou špeciálne vytvorenej HTTP požiadavky spôsobiť SSRF útok, čo povedie ku stiahnutiu škodlivého XML súboru, ktorý umožní spustenie ľubovolného JavaScript kódu a zabezpečí tak vytvorenie reverz shellu [1][2]. Zraniteľnosť je aktívnej zneužívaná [2][3]. Ďalšie podrobnosti a IoC je možné nájsť na [2]. Ako dočasnú opravu je možné zakázať rozšírenie pre vykonávanie JavaScript kódu vrámci XML súborov a obmedziť odchádzajúce požiadavky z postihnutého stroja [2].

Zraniteľnosť sa nachádza v produkte Oracle E-Business Suite vo verziách >=12.2.3 AND <=12.2.14.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 4. 10. 2025.


Za CESNET-CERTS Martin Krajči dňa 9. 10. 2025.

CESNET-CERTS Logo