Selon Imperva (blog), une vulnérabilité critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 à 12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives à grande échelle.

🔥 Vulnérabilité et impact: Il s’agit d’une exécution de code à distance pré-authentification (RCE). Les fonctions finance, RH et ERP cœur sont impactées, exposant les organisations à un risque majeur.

🚨 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis août. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journée au niveau mondial.

🧪 Résumé technique: L’exploitation est une chaîne multi‑étapes débutant par un POST non authentifié vers OA_HTML/configurator/UiServlet avec un XML contenant un paramètre return_url contrôlable. L’attaque combine SSRF pour déclencher des requêtes sortantes, injection CRLF/headers et réutilisation de connexions HTTP pour du request smuggling, pivote vers des services HTTP locaux insuffisamment contraints, puis livre des feuilles de style XSL malveillantes. La payload XSLT embarque du code Java encodé Base64 exécuté via le Java Script Engine (Runtime.exec), permettant des reverse shells et une exécution de commandes au niveau système. Les vecteurs incluent les endpoints '/OA_HTML/SyncServlet', 'RF.jsp', 'OA.jsp' et 'UiServlet'.

🛡️ Couverture de protection: Imperva indique avoir déployé des protections pour ses clients Cloud WAF et On‑Prem WAF.

🧩 IOCs et TTPs (extraits)

  • TTPs: SSRF; injection CRLF/headers; réutilisation de connexions HTTP → request smuggling; pivot vers services HTTP locaux; livraison de XSL malveillants; XSLT avec Java Base64 exécuté via Script Engine/Runtime.exec; RCE pré-auth; reverse shell.
  • Points d’attaque/endpoints: /OA_HTML/configurator/UiServlet, /OA_HTML/SyncServlet, RF.jsp, OA.jsp, UiServlet.
  • Acteurs mentionnés: Cl0p.
  • Statistiques d’attaque: >557 000 tentatives observées en une journée (global).

Type: rapport de vulnérabilité présentant une faille critique, son exploitation en cours et un aperçu technique de la chaîne d’attaque.

🔗 Source originale : https://www.imperva.com/blog/cve-2025-61882-imperva-customers-protected-against-critical-oracle-ebs-zero-day-rce/

🖴 Archive : https://web.archive.org/web/20251016073818/https://www.imperva.com/blog/cve-2025-61882-imperva-customers-protected-against-critical-oracle-ebs-zero-day-rce/