Oracle 安全警报公告 - CVE-2025-61884
描述
此安全警报针对 Oracle E-Business Suite 中的漏洞 CVE-2025-61884。此漏洞无需身份验证即可被远程利用,即可以通过网络利用,而无需用户名和密码。如果利用成功,此漏洞可能允许访问敏感资源。
Oracle 强烈建议客户尽快应用此安全警报提供的更新或缓解措施。Oracle 始终建议客户保持在受主动支持的版本上,并立即应用所有安全警报和关键补丁更新安全补丁。
受影响的产品和补丁信息
此安全警报解决的安全漏洞影响以下所列产品。请点击下文“补丁可用性文档”列中的链接以获取说明。
| 受影响的产品和版本 | 补丁可用性文档 |
|---|---|
| Oracle E-Business Suite, 版本 12.2.3 - 12.2.14 | Oracle E-Business Suite |
安全警报支持的产品和版本
通过安全警报计划发布的补丁仅提供给处于 生命周期支持策略 的“首要支持”或“扩展支持”阶段覆盖的产品版本。Oracle 建议客户规划产品升级,以确保他们当前运行的版本能够获得通过安全警报计划发布的补丁。
未处于首要支持或扩展支持下的产品版本未针对此安全警报所解决的漏洞进行测试。但是,受影响版本的早期版本很可能也受到这些漏洞的影响。因此,Oracle 建议客户升级到受支持的版本。
参考资料
- Oracle 关键补丁更新、安全警报和公告
- Oracle 关键补丁更新和安全警报 - 常见问题解答
- 风险矩阵定义
- Oracle 对通用漏洞评分系统 (CVSS) 的使用
- 风险矩阵的英文文本版本
- 风险矩阵的 CSAF JSON 版本
- CVE 到公告/警报的映射
- Oracle 生命周期支持策略
- JEP 290 参考阻止列表过滤器
风险矩阵内容
风险矩阵仅列出与此公告相关补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在 [此处]。
安全漏洞使用 CVSS 3.1 版进行评分(有关 Oracle 如何应用 CVSS 3.1 版的解释,请参阅 Oracle CVSS 评分)。
Oracle 会对安全警报解决的每个安全漏洞进行分析。Oracle 不会向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。Oracle 提供此信息,以便客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅 Oracle 漏洞披露政策。
风险矩阵中列出的协议意味着其所有安全变体也受到影响。例如,如果 HTTP 被列为受影响协议,则意味着 HTTPS 也受到影响。协议的安全变体仅在其为唯一受影响的变体时才会在风险矩阵中列出。
致谢声明
Oracle 感谢以下组织为本次安全警报所解决的安全漏洞做出的贡献:
- CrowdStrike
- Mandiant
修改历史
| 日期 | 说明 |
|---|---|
| 2025年10月11日 | 版本 1. 首次发布。 |
Oracle E-Business Suite 风险矩阵
此安全警报包含 Oracle E-Business Suite 的 1 个新安全补丁。此漏洞无需身份验证即可被远程利用,即可以通过网络利用,而无需用户凭据。此风险矩阵的英文文本形式可以在[此处]找到。
| CVE ID | 产品 | 组件 | 协议 | 无需认证即可远程利用? | CVSS 版本 3.1 风险 (见风险矩阵定义) | 受影响的受支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| 基础分数 | 攻击向量 | 攻击复杂度 | |||||
| CVE-2025-61884 | Oracle Configurator | Runtime UI | HTTP | 是 | 7.5 | 网络 | 低 |