Ny sårbarhed i Oracle E-Business Suite
Oracle har udsendt en ny sikkerhedsadvarsel om en kritisk sårbarhed i E-Business Suite, der kan give uautoriseret adgang til følsomme data – uden login.
Det skriver The Hacker News og Help Net Security.
Sårbarheden, EUVD-2025-33878/ CVE-2025-61884, har fået en CVSS-score på 7.5 og påvirker versioner fra 12.2.3 til 12.2.14. EPSS-scoren er 0,03 pct.
Uden login – med fuld adgang
Fejlen findes i komponenten Oracle Configurator (Runtime UI) og kan udnyttes via HTTP af en angriber med netværksadgang – uden behov for autentificering. Ifølge Oracle og NIST’s National Vulnerability Database kan et vellykket angreb give adgang til alle data, der er tilgængelige via Oracle Configurator.
Oracle understreger, at sårbarheden er nem at udnytte, og at der ikke kræves brugerinteraktion. Der er endnu ingen kendte angreb in-the-wild, men Oracle anbefaler øjeblikkelig opdatering af berørte systemer.
Gentagne sårbarheder i EBS
Denne nye sårbarhed kommer blot dage efter offentliggørelsen CVE-2025-61882 (CVSS 9,8), som blev aktivt udnyttet af Cl0p-gruppen i en række angreb rettet mod Oracle EBS-brugere. Vi skrev i sidste uge om om sårbarheden og hvordan angribere udnyttede en fejl i BI Publisher Integration til at opnå Remote Code Execution (RCE).
Angrebene involverede malware-familier som GOLDVEIN.JAVA, SAGEGIFT og SAGELEAF, og blev spredt via en high-volume phishingkampagne, som ramte organisationer globalt.
Det anbefales, at organisation med interneteksponerede EBS-installationer installererer Oracle’s patch.
Læs mere
- https://thehackernews.com/2025/10/new-oracle-e-business-suite-bug-could.html
- https://www.helpnetsecurity.com/2025/10/12/another-remotely-exploitable-oracle-ebs-vulnerability-requires-your-attention-cve-2025-61884/
- https://www.cert.dk/news/2025-10-06/Kritisk-0-dagssaarbarhed-i-Oracle-E-Business-Suite
- https://www.oracle.com/security-alerts/alert-cve-2025-61884.html