← voltar
CVE-2025-61884

CVE-2025-61884

CVSS 7.5 HIGHEPSS 97.6%● KEVCWE-22CWE-287CWE-444CWE-501CWE-918CWE-93
Em resumo

Uma falha no Oracle Configurator (versões 12.2.3-12.2.14 do E-Business Suite) permite que atacantes acessem dados sensíveis sem autenticação pela rede. Um invasor pode explorar isso através de uma simples requisição HTTP para ler informações confidenciais.

Detalhe técnico

Deficiências de traversal de diretórios, bypass de autenticação e smuggling de requisições HTTP no componente Runtime UI permitem que atacantes remotos não autenticados acessem dados restritos. A vulnerabilidade requer apenas acesso à rede e nenhuma interação do usuário; a exploração bem-sucedida resulta em alto impacto de confidencialidade com acesso não autorizado aos dados do Configurator.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Vulnerability in the Oracle Configurator product of Oracle E-Business Suite (component: Runtime UI). Supported versions that are affected are 12.2.3-12.2.14. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Configurator. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Configurator accessible data. CVSS 3.1 Base Score 7.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Oracle Corporation · Oracle Configurator
PoCs públicas encontradas1
cve_referencelabs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://blogs.oracle.com/security/post/apply-july-2025-cpuhttps://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-61884https://www.oracle.com/security-alerts/alert-cve-2025-61884.html