Selon Cyber Security News, Oracle a divulgué deux vulnérabilités critiques — CVE-2025-53072 et CVE-2025-62481 — affectant le composant Marketing Administration d’Oracle E‑Business Suite. ⚠️ Ces failles, notées CVSS 9.8, pourraient permettre à des attaquants distants de prendre le contrôle complet du module Marketing, avec des impacts élevés sur la confidentialité, l’intégrité et la disponibilité.
Les deux vulnérabilités sont exploitables via des requêtes HTTP sur le réseau, avec une complexité d’attaque faible, aucun privilège requis et aucune interaction utilisateur. Le vecteur CVSS 3.1 communiqué (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) souligne la facilité d’exploitation et la sévérité. Les risques évoqués incluent le vol de données clients, la manipulation de campagnes marketing et la perturbation des opérations.
Les versions affectées couvrent 12.2.3 à 12.2.14 d’Oracle Marketing. Les deux entrées partagent un scoring et des vecteurs identiques, ce qui suggère des erreurs de codage liées à la validation des entrées ou à la gestion de session (Oracle n’a pas publié de détails techniques pour ne pas aider les attaquants). Oracle précise que l’évaluation des risques est inchangée, mettant en avant une exploitabilité « directe ».
Oracle recommande l’application immédiate de son Critical Patch Update d’octobre 2025 (disponible sur My Oracle Support). En attendant, des experts cités évoquent la segmentation réseau, l’usage de WAF pour détecter des anomalies HTTP et la surveillance du trafic du composant Marketing Administration. Mandiant avertit que du code d’exploitation pourrait apparaître prochainement, même si aucune exploitation active n’est rapportée à ce stade. Le contexte inclut une hausse des attaques sur la chaîne d’approvisionnement et des risques de sanctions réglementaires (GDPR/CCPA) pour les secteurs retail, finance et e‑commerce.
Indicateurs et TTPs:
- IOCs: Aucun indiqué
- TTPs:
- Accès réseau via HTTP au composant Marketing Administration (AV:N)
- Complexité faible (AC:L), aucun privilège requis (PR:N), aucune interaction (UI:N)
- Portée inchangée (S:U); impacts élevés sur C/I/A (C:H/I:H/A:H)
- Exploitation non authentifiée à distance menant à une compromission complète du module
Type d’article: vulnerabilité — objectif: informer sur des failles critiques dans Oracle E‑Business Suite et la disponibilité du correctif d’octobre 2025.
🔗 Source originale : https://cybersecuritynews.com/oracle-e-business-suite-vulnerability/