Another remotely exploitable Oracle EBS vulnerability requires your attention (CVE-2025-61884)
2025/10/12 HelpNetSecurity — Oracle E-Business Suite (EBS) の Oracle Configurator 製品には、ランタイム・ユーザー・インターフェイスに脆弱性 CVE-2025-61884 が存在する。この脆弱性は以前の CVE-2025-61882 と同様に、EBS バージョン 12.2.3~12.2.14 までが影響を受けると、公式には説明されている。
NIST NVD の CVE-2025-61884 エントリには、「容易に悪用が可能な脆弱性であり、HTTP 経由でネットワークにアクセス可能な、未認証の攻撃者が Oracle Configurator を侵害する可能性がある。この脆弱性を悪用する攻撃が成功すると、重要なデータへの不正アクセス、あるいは、Oracle Configurator がアクセス可能なすべてのデータへの完全なアクセスが可能になる恐れがある」と記されている。
Oracle Security の CIS 担当 Rob Duhart は、「この脆弱性により、機密リソースへのアクセスが可能になる恐れがある。Oracle E-Business Suite の特定の導入環境に影響する」と述べている。
同社が顧客に対して強く推奨するのは、提供されているアップデートまたは緩和策の迅速な適用である。しかし、すでに指摘されているように、少なくとも1つの旧バージョン (12.1.3) でも脆弱性が確認されており、今後の数日中に、パッチ提供状況がドキュメント化される可能性がある。
脆弱性 CVE-2025-61884 が実際に攻撃を受けているのか、あるいは、CVE-2025-61882 を悪用する攻撃者が、Oracle EBS の顧客データを窃取し、脅迫を行っているのかについて、Oracle は言及していない。
その一方で、CVE-2025-61882 のエクスプロイト・スクリプトが流出しているため、セキュリティ研究者はさらなる攻撃を懸念している。脆弱性 CVE-2025-61884 に関する詳細情報について、HelpNetSecurity は Oracle に問い合わせており、回答が得られ次第、この記事を更新する予定である。
問題の原因は、主にランタイム UI の実装上の欠陥にあるように感じます。具体的には、HTTP 経由で未認証の攻撃者が到達し得る点と、認証や入力検証の不備が組み合わさることで、Web 経由により機密ファイルや機能に不正アクセスされ得る点です。以前の類似脆弱性と実装の共通点があり、加えて旧バージョンが残存していること、そして CVE-2025-61882 のエクスプロイト流出があるため、悪用のリスクが高まっていると、この記事は指摘しています。よろしければ、CVE-2025-61882 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.