【漏洞通告】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-61882)

阅读: 18

通告编号:NS-2025-0044

TAG: Oracle E-Business Suite、CVE-2025-61882
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.0

1 漏洞概述

近日,绿盟科技CERT监测到Oracle发布安全公告,修复了Oracle E-Business Suite远程代码执行漏洞(CVE-2025-61882);由于Oracle E-Business Suite的Oracle Concurrent Processing(BI Publisher Integration)未严格验证和过滤用户输入,未经身份验证的攻击者可通过发送特别构造的HTTP请求,利用SSRF、CRLF注入、路径遍历、XSLT注入等漏洞链实现远程执行代码,从而控制目标服务器。CVSS评分9.8,目前漏洞细节与PoC已公开,且发现在野利用,请相关用户尽快采取措施进行防护。

Oracle E-Business Suite是一个打包的企业应用程序集合,用于执行客户关系管理 (CRM)、企业资源规划 (ERP) 和人力资本管理 (HCM) 等各种任务。Oracle Concurrent Processing(并发处理)是Oracle E-Business Suite(EBS)的核心组件之一,用于在后台高效执行非交互式任务。

参考链接:

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

 

2 影响范围

受影响版本

  • 12.2.3 <= Oracle E-Business Suite <= 12.2.14 (注:官方已停止支持的12.1版本也受影响)

3 漏洞防护

3.1 官方升级

目前官方已发布安全补丁修复此漏洞,请受影响的用户尽快安装补丁进行防护,下载链接:https://support.oracle.com/rs?type=doc&id=3106344.1

 

END

声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author