CVE-2025-61757：Imperva客户已受保护，防御可导致远程代码执行的关键Oracle身份管理器认证绕过漏洞

Imperva威胁研究团队

Sofia Naer 2025年12月1日 阅读时间 1分钟

2025年10月底，Oracle发布了一项紧急安全警报，针对CVE-2025-61757进行处理。这是一个高严重性的认证绕过漏洞，可在Oracle融合中间件身份管理器产品（版本12.2.1.4.0和14.1.2.1.0）中实现远程代码执行。多个威胁行为者已经在野利用此漏洞，该漏洞于2025年11月21日被添加到CISA（美国网络安全与基础设施安全局）的已知被利用漏洞目录中。

Oracle身份管理器在大型企业（尤其是金融、政府、医疗保健等严重依赖Oracle基础设施的行业）中广泛部署。由于它仍然是许多组织的核心身份平台，此漏洞显著提升了风险，使得CVE-2025-61757尤为关键。

漏洞详情

近期的披露信息表明，与之前的Oracle CVE不同，此漏洞原理直接，极易被威胁行为者利用。该漏洞源于Oracle身份管理器REST API中的认证绕过问题，攻击者可以通过在URL路径后附加诸如?WSDL或;.wadl等参数，诱使安全过滤器将受保护的端点视为公共端点。这会暴露敏感端点，例如：

/iam/governance/selfservice/api/v1/users/

在获得未授权访问后，攻击者可以与一个Groovy脚本编译端点进行交互。尽管该端点本意并非用于执行脚本，但通过滥用Groovy的注解处理功能，可在编译过程中运行恶意代码。

这一漏洞链使得研究人员能够在易受攻击的Oracle身份管理器实例上实现认证前的远程代码执行。

观察到的攻击态势

在过去一周，已检测到超过30万次针对此漏洞的攻击尝试。这些攻击发生在全球超过18个国家，其中大部分攻击集中在美国和法国。

计算、医疗保健和商业网站受到的攻击尝试最为严重。

核心结论

CVE-2025-61757是一个具有高操作影响的关键认证绕过漏洞，可能允许攻击者实现远程代码执行。

Imperva威胁研究小组追踪并识别了此漏洞的利用链，确保使用弹性WAF、云WAF或本地WAF的Imperva客户现已获得开箱即用的防护。