10月11日Oracle發布資安公告,修補旗下ERP系統E-Business Suite(EBS)資安漏洞CVE-2025-61884,攻擊者可在不需通過身分驗證(輸入帳號、密碼)的情況下,進行遠端利用,一旦成功觸發,就有機會存取敏感資源。由於本月初才爆發勒索軟體Clop(Cl0p)附屬團體利用零時差漏洞CVE-2025-61882發動大規模攻擊,這項新漏洞的揭露,很難不讓人聯想,可能與這起事故有關。
CVE-2025-61884出現在EBS的Runtime UI元件,影響12.2.3至12.2.14版EBS,CVSS風險為7.5分。這項漏洞相當容易利用,未經授權的攻擊者只需透過HTTP進行網路存取,就有機會以此滲透Oracle Configurator。一旦成功利用漏洞發動攻擊,攻擊者就有機會未經授權存取重要資料,或是完全存取Oracle Configurator能夠存取的所有資料。
附帶一提的是,Oracle資安長Rob Duhart發布部落格文章透露,此漏洞影響部分EBS環境,不過,對於這項漏洞是否已遭利用,以及那些型態的EBS存在此種弱點,他並未說明。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
Advertisement