Por: Equipo de News Arce Systems Fecha: 13 de diciembre de 2025
Una vulnerabilidad de alta severidad en Oracle E-Business Suite (EBS), identificada como CVE-2025-61884, permite a atacantes remotos no autenticados acceder a datos sensibles y configuraciones críticas. Esta falla, ubicada en el componente Runtime UI del producto Oracle Configurator, es explotable a través de HTTP sin necesidad de credenciales.
Oracle liberó un parche de emergencia el 11 de octubre de 2025 como parte de un Security Alert fuera de banda. Aunque no se confirma explotación activa generalizada para esta CVE específica, su similitud con otras vulnerabilidades recientes en EBS (como CVE-2025-61882) y la disponibilidad de exploits relacionados la convierten en un riesgo significativo en diciembre de 2025 para sistemas no actualizados.
¿Qué es Oracle E-Business Suite y Oracle Configurator?
Oracle E-Business Suite es una suite integral de aplicaciones ERP utilizada por miles de organizaciones para gestionar finanzas, recursos humanos, cadena de suministro y operaciones empresariales críticas.
El componente Oracle Configurator proporciona una interfaz web (Runtime UI) para configurar productos y modelos complejos, exponiendo datos de configuración sensibles como precios, especificaciones y datos de clientes.
Detalles de la Vulnerabilidad (CVE-2025-61884)
- Impacto: Acceso no autenticado a recursos sensibles, incluyendo datos de configuración crítica o completa del Oracle Configurator. En algunos análisis, se asocia con un Server-Side Request Forgery (SSRF) en el endpoint /OA_HTML/configurator/UiServlet, permitiendo solicitudes arbitrarias y potencial exposición de datos internos.
- Puntuación CVSS: 7.5 (Alta).
- Versiones Afectadas: Oracle E-Business Suite 12.2.3 a 12.2.14.
- Condiciones para Explotación: Acceso de red vía HTTP; fácilmente explotable sin autenticación ni interacción del usuario.
- Relación con Otras Vulnerabilidades: Esta CVE parece corregir componentes de exploits filtrados relacionados con campañas de extorsión (como las asociadas a ShinyHunters o CL0P), aunque Oracle no confirma explotación activa específica para esta.
La falla permite comprometer la confidencialidad de datos empresariales sensibles sin dejar rastros evidentes de autenticación.
¿Por Qué Sigue Siendo Relevante ?
El parche se publicó en octubre de 2025, pero:
- Muchas organizaciones mantienen versiones legacy de EBS por complejidad en migraciones.
- Exploits relacionados han sido filtrados públicamente, facilitando ataques oportunistas.
- Campañas de extorsión recientes contra EBS destacan la exposición de sistemas legacy.
- No todas las instalaciones aplican parches fuera de banda de inmediato.
Esta vulnerabilidad resalta riesgos en ERP expuestos a internet, donde datos financieros y operacionales pueden filtrarse sin alerta inmediata.
Cómo Mitigar y Protegerse
- Aplicar Parche Urgentemente:
- Instale el parche del Security Alert CVE-2025-61884 (disponible en My Oracle Support).
- Verifique la documentación de parcheo para su versión específica.
- Medidas Temporales:
- Restrinja acceso HTTP a endpoints de Configurator (use firewalls, WAF o VPN).
- Deshabilite Oracle Configurator si no es esencial hasta parchear.
- Detección y Mejores Prácticas:
- Monitoree tráfico HTTP por accesos sospechosos a /OA_HTML/configurator/UiServlet.
- Use escáneres de vulnerabilidades (Nessus, Qualys) y herramientas de logging.
- Aplique principio de menor exposición: No exponga EBS directamente a internet.
- Revise logs por indicadores de compromiso (IOCs) proporcionados por Oracle.
Fuentes:
- Advisory Oficial Oracle: https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-61884
- Análisis de Seguridad: Qualys, Help Net Security y Arctic Wolf.
No subestime vulnerabilidades de divulgación de información: pueden ser el primer paso en cadenas de ataque mayores. ¡Aplique parches inmediatamente! Siga news.arcesystems.com.co para más alertas de ciberseguridad.