10月上旬Oracle修補E-Business Suite(EBS)伺服器請求偽造(SSRF)漏洞CVE-2025-61884,並指出新漏洞相當容易利用,由於不久前才揭露零時差漏洞CVE-2025-61882,不禁讓人聯想到CVE-2025-61884可能已被用於實際攻擊,現在這樣的推測,終於得到證實。
20日美國網路安全暨基礎設施安全局(CISA)發布公告,將5個資安漏洞列入已遭到利用的漏洞列表(KEV),其中一個就是CVE-2025-61884,CISA要求聯邦機構必須在11月10日前完成修補。
CVE-2025-61884出現在EBS的Runtime UI,CVSS風險評分為7.5。特別的是,雖然CISA在上述公告及KEV提及此為伺服器請求偽造型態的漏洞,但他們在美國國家漏洞資料庫(NVD)當中,卻標記這項漏洞涵蓋多種層面的弱點,例如:路徑穿越、利用斷行與換行符號的注入(CRLF Injection)、身分驗證機制不周延,以及HTTP請求挾持等。
這次CISA列入KEV的資安漏洞,還包括:Windows作業系統SMB用戶端存取控制不當漏洞CVE-2025-33073、Kentico Xperience Staging Sync Server資安漏洞CVE-2025-2746與CVE-2025-2747,以及蘋果裝置資安漏洞CVE-2022-48503。
熱門新聞
2025-12-22
2025-12-19
2025-12-19
2025-12-21
2025-12-19
2025-12-22
2025-12-22
Advertisement