Oracle emitió el sábado una alerta de seguridad advirtiendo sobre una nueva falla de seguridad que afecta a su E-Business Suite (EBS y que, según afirma, podría permitir el acceso no autorizado a datos confidenciales.
La vulnerabilidad, identificada como CVE-2025-61884 (CVSS de 7,5), lo que indica una gravedad alta. Afecta a las versiones desde la 12.2.3 hasta la 12.2.14. «Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Configurator. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de Oracle Configurator».
En una alerta independiente, Oracle indicó que la falla se puede explotar de forma remota sin necesidad de autenticación, por lo que es crucial que los usuarios instalen la actualización lo antes posible. Sin embargo, la compañía no menciona ninguna explotación en la práctica.
El director de seguridad de Oracle, Rob Duhart, señaló que la vulnerabilidad afecta a algunas implementaciones de E-Business Suite y que podría utilizarse para permitir el acceso a recursos confidenciales.
Este desarrollo se produce poco después de que Google Threat Intelligence Group (GTIG) y Mandiant revelaran que decenas de organizaciones podrían haberse visto afectadas tras la explotación de un Zero-Day de CVE-2025-61882 (CVSS: 9,8) en el software E-Business Suite (EBS) de Oracle. Se estima que la actividad, que presenta algunas características asociadas con el grupo de ransomware Cl0p, generó múltiples vulnerabilidades distintas, incluyendo la posibilidad vulnerar las redes objetivo y exfiltrar datos confidenciales.
Fuente: THN