Selon BleepingComputer Source : BleepingComputer (Sergiu Gatlan), Oracle a publié ce week-end une mise à jour de sécurité d’urgence pour corriger une vulnérabilité affectant Oracle E‑Business Suite (EBS).
Oracle a diffusé ce week-end un correctif de sécurité d’urgence pour une nouvelle vulnérabilité critique affectant sa suite E-Business Suite (EBS), pouvant être exploitée à distance sans authentification. La faille, identifiée sous le code CVE-2025-61884, touche les versions 12.2.3 à 12.2.14 du composant Runtime UI et permettrait à des attaquants non authentifiés de voler des données sensibles via Internet.
« Cette vulnérabilité est exploitable à distance sans nom d’utilisateur ni mot de passe. Oracle recommande vivement à ses clients d’appliquer immédiatement le correctif ou les mesures d’atténuation fournies », a déclaré l’entreprise.
Le score CVSS attribué à cette faille est de 7,5 (gravité élevée). Selon Rob Duhart, directeur de la sécurité chez Oracle, une exploitation réussie pourrait donner accès à des ressources sensibles des systèmes vulnérables.
Ce correctif intervient moins de deux semaines après la campagne d’extorsion menée par le groupe Clop, qui a exploité une autre faille critique d’Oracle EBS (CVE-2025-61882) pour voler des données à de nombreuses entreprises. Des chercheurs de CrowdStrike ont confirmé que Clop utilisait cette faille comme zero-day depuis août 2025, tandis que watchTowr Labs a montré qu’elle permettait une exécution de code à distance sans authentification.
Oracle précise que la vulnérabilité CVE-2025-61884 n’a pas encore été observée comme exploitée « dans la nature ». Toutefois, compte tenu des attaques actives ciblant les instances EBS exposées à Internet, les experts en cybersécurité recommandent d’appliquer immédiatement le correctif hors cycle publié par l’éditeur.
Points clés:
- Produit concerné: Oracle E‑Business Suite (EBS)
- Nature du risque: exploitation à distance par des acteurs non authentifiés
- Action entreprise: publication d’un correctif d’urgence au cours du week-end
Il s’agit d’un article de type patch de sécurité, dont l’objectif principal est d’annoncer la disponibilité immédiate du correctif et d’informer sur la nature de la vulnérabilité corrigée.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/oracle-releases-emergency-patch-for-new-e-business-suite-flaw/