Selon BleepingComputer, Oracle a discrètement corrigé une vulnérabilité affectant Oracle E‑Business Suite identifiée comme CVE‑2025‑61884, déjà activement exploitée pour compromettre des serveurs, tandis qu’un exploit PoC a été rendu public par le groupe d’extorsion ShinyHunters.
- La faille concerne Oracle E‑Business Suite et porte l’identifiant CVE‑2025‑61884.
- Oracle a effectué un correctif silencieux sans communication appuyée.
Oracle a publié un correctif hors-cycle pour CVE-2025-61884, une vulnérabilité d’information disclosure / SSRF dans Oracle E-Business Suite (EBS) exploitée à distance sans authentification, dont un proof-of-concept (PoC) a été diffusé publiquement par le groupe ShinyHunters (Scattered Lapsus$ Hunters). Plusieurs chercheurs et clients confirment que le correctif adresse désormais la composante SSRF utilisée par le PoC. Oracle décrit la faille comme « exploitable à distance sans authentification » et potentiellement capable d’accéder à des ressources sensibles.
La situation est rendue confuse par l’enchaînement d’avertissements et de correctifs : début octobre Oracle avait publié un patch d’urgence pour CVE-2025-61882 (campagne liée au groupe Clop), puis, ce week-end, le correctif pour CVE-2025-61884. Les exploitations et PoC analysés ciblent des endpoints différents — /configurator/UiServlet (PoC ShinyHunters / watchTowr Labs) et /OA_HTML/SyncServlet (observations Mandiant/CrowdStrike pour des campagnes Clop) — et Oracle a publié des IOCs qui ont semé le doute en listant des éléments associés au PoC finalement corrigé par CVE-2025-61884.
Technique : les analystes ont noté que la mise à jour pour CVE-2025-61884 valide désormais le paramètre return_url via une expression régulière stricte (rejectant l’injection CRLF), ce qui neutralise la partie SSRF du PoC. Avant ce patch, certains tests montraient que la composante SSRF du PoC restait fonctionnelle même après les correctifs précédents. Les correctifs pour CVE-2025-61882 ont quant à eux atténué l’accès à /OA_HTML/SyncServlet (stub du SYNCSERVLET + règles mod_security).
Recommandations opérationnelles (factuelles) : installez immédiatement les derniers correctifs Oracle EBS (out-of-band pour CVE-2025-61884 et patch du 4 octobre pour CVE-2025-61882). Si vous ne pouvez pas patcher tout de suite, ajoutez temporairement une règle mod_security bloquant l’accès à /configurator/UiServlet pour casser la composante SSRF du PoC, et surveillez les indicateurs de compromission publiés. BleepingComputer rapporte que Oracle n’a pas apporté de clarification publique complète sur l’exploitation active et a peu ou pas répondu aux demandes de commentaires.
Type d’article: article de presse spécialisé informant sur une vulnérabilité corrigée et son exploitation active.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/oracles-silently-fixes-zero-day-exploit-leaked-by-shinyhunters/