CVE-2025-61882
CVE-2025-61882
En resumen
Un atacante sin autenticación puede explotar remotamente el Oracle Concurrent Processing a través de internet para tomar control total del sistema. Esta es una falla crítica en las versiones 12.2.3-12.2.14 que no requiere condiciones especiales ni interacción del usuario.
Detalle técnico
Vulnerabilidad de autenticación impropia (CWE-287) en el componente BI Publisher Integration de Oracle E-Business Suite permite explotación remota vía HTTP sin autenticación previa y con baja complejidad de ataque. La explotación exitosa compromete completamente la confidencialidad, integridad y disponibilidad del sistema (CVSS 9.8).
Resumen generado y traducido por IA a partir de la descripción oficial.
Vulnerability in the Oracle Concurrent Processing product of Oracle E-Business Suite (component: BI Publisher Integration). Supported versions that are affected are 12.2.3-12.2.14. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Concurrent Processing. Successful attacks of this vulnerability can result in takeover of Oracle Concurrent Processing. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Oracle Corporation · Oracle Concurrent ProcessingPoCs públicas encontradas — 5
githubgithub.com/George0Papasotiriou/CVE-2025-61882-Oracle-BI-Publisher-RCE★ 1githubgithub.com/MindflareX/CVE-2025-61882-POC★ 0githubgithub.com/Zhert-lab/CVE-2025-61882-CVE-2025-61884★ 0githubgithub.com/sid-203/Enterprise-Information-Security-Risk-Assessment-Oracle-E-Business-Suite-Case-Study★ 0githubgithub.com/NetVanguard-cmd/CVE-2025-61882★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://blogs.oracle.com/security/post/apply-july-2025-cpuhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-61882https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/https://www.oracle.com/security-alerts/alert-cve-2025-61882.html