安全警报说明
本安全警报针对Oracle电子商务套件中的CVE-2025-61884漏洞。该漏洞无需身份验证即可远程利用,即可能通过网络利用此漏洞,无需用户名和密码。如果成功利用,此漏洞可能允许访问敏感资源。
Oracle强烈建议客户尽快应用此安全警报提供的更新或缓解措施。Oracle始终建议客户保持在受支持的版本上,并无延迟地应用所有安全警报和关键补丁更新安全补丁。
受影响产品和补丁信息
本安全警报解决的安全漏洞影响以下列出的产品。请点击下方“补丁可用文档”列中的链接获取说明。
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Oracle电子商务套件 版本12.2.3-12.2.14 | Oracle电子商务套件 |
安全警报支持的产品和版本
通过安全警报程序发布的补丁仅适用于生命周期支持策略中处于首要支持或扩展支持阶段的产品版本。Oracle建议客户规划产品升级,确保当前运行的版本能够获得通过安全警报程序发布的补丁。
未处于首要支持或扩展支持的产品版本未经过本安全警报所解决漏洞的测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
风险矩阵内容
风险矩阵仅列出本公告相关补丁新解决的安全漏洞。以前安全补丁的风险矩阵可在以前的重大补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对安全警报解决的每个安全漏洞进行分析,但不向客户披露此安全分析的详细信息。
致谢声明
Oracle感谢以下组织对本安全警报解决的安全漏洞做出的贡献:
- CrowdStrike
- Mandiant
修改历史
| 日期 | 说明 |
|---|---|
| 2025年10月11日 | 版本1。初始发布。 |
Oracle电子商务套件风险矩阵
本安全警报包含1个用于Oracle电子商务套件的新安全补丁。此漏洞无需身份验证即可远程利用,即可能通过网络利用,无需用户凭据。
| CVE ID | 产品 | 组件 | 协议 | 远程利用无需认证? | CVSS基础评分 | 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性 | 完整性 | 可用性 | 受影响支持版本 | 备注 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-61884 | Oracle配置器 | 运行时UI | HTTP | 是 | 7.5 | 网络 | 低 | 无 | 无 | 未改变 | 高 | 无 | 无 | 12.2.3-12.2.14 |