【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
2025-10-09 12:00 山东
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
Oracle E-Business Suite(简称EBS)是甲骨文公司推出的集成化企业应用套件,主要用于优化企业的客户关系管理、企业资源规划、供应链管理、人力资源管理等核心业务流程。
2025年10月,Oracle 官方发布补丁修复了Oracle E-Business Suite 远程代码执行漏洞(CVE-2025-61882)。攻击者无需身份验证即可远程利用此漏洞实现代码执行,导致系统被攻击与控制。建议受影响的用户及时更新补丁进行修复。
漏洞描述
Description
01
漏洞成因
该漏洞源于Oracle E-Business Suite在处理用户请求时,多个组件存在安全缺陷:UiServlet未对用户提供的XML参数进行充分验证,导致SSRF漏洞;后续处理过程中缺乏对CRLF注入的有效防护,使攻击者可操纵HTTP请求;内部服务绑定配置不当及路径遍历防护不足,导致认证绕过;最终通过XSLT处理器加载恶意样式表时缺乏安全限制,实现远程代码执行。
漏洞影响
攻击者可在服务器上执行任意系统命令,可能导致服务器被完全控制、数据泄露或业务系统沦陷。
处置优先级:高
漏洞类型:远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方提供升级修复方案
影响版本
Affects
02
Oracle E-Business Suite 12.2.3-12.2.14
解决方案
Solution
03
升级修复方案
Oracle官方已发布安全补丁,请及时更新补丁:
下载地址:
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
临时缓解方案如非必要,避免将该系统直接暴露在互联网
如非必要,避免将该系统直接暴露在互联网
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别,预计2025.10.09支持该漏洞的PoC检测
洞鉴:预计2025.10.09支持原理自定义PoC检测
雷池:预计2025.10.09发布自定义规则支持检测
全悉:预计2025.10.09发布更新包支持检测
无锋:默认支持该产品的指纹识别,预计2025.10.09支持该漏洞的PoC检测
时间线
Timeline
06
2025年10月 Oracle官方发布安全补丁
2025年10月9日 长亭安全应急响应中心发布通告
参考资料:
[1]. https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
长亭应急响应服务
目录
最新
- 【已复现】用友 U8 Cloud pubsmsservlet 远程代码执行漏洞安全通告
- 【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
- 【已复现】用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞安全通告
- 【已复现】用友 U8 Cloud IPFxxFileService 任意文件上传漏洞安全通告
- 【已复现】用友 U8 Cloud 文件上传绕过漏洞安全通告
- 【已复现】Docker Desktop Engine API 未授权访问漏洞安全通告(CVE-2025-9074)
- 【已复现】Smartbi 远程代码执行漏洞安全通告
- 【已复现】Cherry Studio 命令注入漏洞安全通告(CVE-2025-54074)