← volver
CVE-2025-61884

CVE-2025-61884

CVSS 7.5 HIGHEPSS 97.6%● KEVCWE-22CWE-287CWE-444CWE-501CWE-918CWE-93
En resumen

Un fallo en Oracle Configurator (versiones 12.2.3-12.2.14 de E-Business Suite) permite a atacantes acceder a datos sensibles sin autenticación a través de la red. Un atacante puede explotarlo mediante una simple solicitud HTTP para leer información confidencial.

Detalle técnico

Debilidades de path traversal, bypass de autenticación y HTTP request smuggling en el componente Runtime UI permiten que atacantes remotos no autenticados accedan a datos restringidos. La vulnerabilidad requiere solo acceso a la red y ninguna interacción del usuario; la explotación exitosa resulta en alto impacto de confidencialidad con acceso no autorizado a datos del Configurator.

Resumen generado y traducido por IA a partir de la descripción oficial.
Vulnerability in the Oracle Configurator product of Oracle E-Business Suite (component: Runtime UI). Supported versions that are affected are 12.2.3-12.2.14. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Configurator. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Configurator accessible data. CVSS 3.1 Base Score 7.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Oracle Corporation · Oracle Configurator
PoCs públicas encontradas1
cve_referencelabs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://blogs.oracle.com/security/post/apply-july-2025-cpuhttps://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-61884https://www.oracle.com/security-alerts/alert-cve-2025-61884.html