Oracle

Selon une lettre de notification adressée par l’Université de Pennsylvanie (Penn), un incident de sécurité des données a affecté une application Oracle tierce, impliquant certaines informations personnelles de destinataires. Penn indique n’avoir, à ce stade, aucune preuve que les informations concernées aient été utilisées à des fins préjudiciables. L’université précise toutefois informer proactivement les personnes potentiellement impactées. La lettre vise à expliquer: ce qui s’est passé, quelles informations sont concernées, les mesures prises par l’université, ainsi que les démarches que les personnes peuvent entreprendre si elles le jugent nécessaire. Penn offre des services gratuits d’assistance en lien avec cet incident. ...

Selon BleepingComputer, Oracle a discrètement corrigé une vulnérabilité affectant Oracle E‑Business Suite identifiée comme CVE‑2025‑61884, déjà activement exploitée pour compromettre des serveurs, tandis qu’un exploit PoC a été rendu public par le groupe d’extorsion ShinyHunters. La faille concerne Oracle E‑Business Suite et porte l’identifiant CVE‑2025‑61884. Oracle a effectué un correctif silencieux sans communication appuyée. Oracle a publié un correctif hors-cycle pour CVE-2025-61884, une vulnérabilité d’information disclosure / SSRF dans Oracle E-Business Suite (EBS) exploitée à distance sans authentification, dont un proof-of-concept (PoC) a été diffusé publiquement par le groupe ShinyHunters (Scattered Lapsus$ Hunters). Plusieurs chercheurs et clients confirment que le correctif adresse désormais la composante SSRF utilisée par le PoC. Oracle décrit la faille comme « exploitable à distance sans authentification » et potentiellement capable d’accéder à des ressources sensibles. ...

Selon BleepingComputer Source : BleepingComputer (Sergiu Gatlan), Oracle a publié ce week-end une mise à jour de sécurité d’urgence pour corriger une vulnérabilité affectant Oracle E‑Business Suite (EBS). Oracle a diffusé ce week-end un correctif de sécurité d’urgence pour une nouvelle vulnérabilité critique affectant sa suite E-Business Suite (EBS), pouvant être exploitée à distance sans authentification. La faille, identifiée sous le code CVE-2025-61884, touche les versions 12.2.3 à 12.2.14 du composant Runtime UI et permettrait à des attaquants non authentifiés de voler des données sensibles via Internet. ...