[TLP:CLEAR] Oracle E-Business Suite opravuje kritickú zraniteľnosť
Oracle opravuje kritickú zraniteľnosť v produkte Oracle E-Business Suite. Pre opravu zraniteľnosti je potrebné sa ubezpečiť, že bola aplikovaná kritická záplata z októbra 2023 a následne vykonať aktualizáciu na najnovšiu verziu [1].
Neautentizovanému vzdialenému útočníkovi je umožnené pomocou špeciálne vytvorenej HTTP požiadavky spôsobiť SSRF útok, čo povedie ku stiahnutiu škodlivého XML súboru, ktorý umožní spustenie ľubovolného JavaScript kódu a zabezpečí tak vytvorenie reverz shellu [1][2]. Zraniteľnosť je aktívnej zneužívaná [2][3]. Ďalšie podrobnosti a IoC je možné nájsť na [2]. Ako dočasnú opravu je možné zakázať rozšírenie pre vykonávanie JavaScript kódu vrámci XML súborov a obmedziť odchádzajúce požiadavky z postihnutého stroja [2].
Zraniteľnosť sa nachádza v produkte Oracle E-Business Suite vo verziách >=12.2.3 AND <=12.2.14.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2025-61882 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 4. 10. 2025.
Odkazy
- [1] https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
- [2] https://www.resecurity.com/blog/article/cve-2025-61882-mass-exploitation-oracle-e-business-suite-ebs-under-attack-by-cl0p-ransomware
- [3] https://www.ncsc.gov.uk/news/active-exploitation-vulnerability-affecting-oracle-ebusiness-suite
Za CESNET-CERTS Martin Krajči dňa 9. 10. 2025.