安全警报说明
本安全警报针对Oracle E-Business Suite中的漏洞CVE-2025-61884。该漏洞无需身份验证即可远程利用,即可能通过网络利用,无需用户名和密码。如果成功利用,此漏洞可能允许访问敏感资源。
Oracle强烈建议客户尽快应用此安全警报提供的更新或缓解措施。Oracle始终建议客户保持在主动支持的版本上,并立即应用所有安全警报和关键补丁更新安全补丁。
受影响产品和补丁信息
本安全警报解决的安全漏洞影响以下列出的产品。请点击下方"补丁可用文档"列中的链接获取说明。
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Oracle E-Business Suite 版本12.2.3-12.2.14 | Oracle E-Business Suite |
安全警报支持的产品和版本
通过安全警报程序发布的补丁仅适用于在终身支持政策的优先支持或扩展支持阶段覆盖的产品版本。Oracle建议客户规划产品升级,确保通过安全警报程序发布的补丁可用于当前运行的版本。
未处于优先支持或扩展支持状态的产品版本未针对此安全警报解决的漏洞进行测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。以前安全补丁的风险矩阵可以在以前的重大补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分(参见Oracle CVSS评分了解Oracle如何应用CVSS 3.1版本)。
Oracle对安全警报解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但最终的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。
风险矩阵中的协议意味着其所有安全变体也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS也受到影响。仅当安全变体是唯一受影响的变体时,才会在风险矩阵中列出安全变体。
Oracle E-Business Suite风险矩阵
本安全警报包含1个用于Oracle E-Business Suite的新安全补丁。此漏洞无需身份验证即可远程利用,即可能通过网络利用,无需用户凭据。
| CVE ID | 产品 | 组件 | 协议 | 远程利用无需认证? | CVSS 3.1风险评分 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2025-61884 | Oracle Configurator | Runtime UI | HTTP | 是 | 7.5 | 12.2.3-12.2.14 |
CVSS 3.1风险详情:
- 基础分数:7.5
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未更改
- 机密性影响:高
- 完整性影响:无
- 可用性影响:无
致谢声明
Oracle感谢以下组织为本安全警报解决的安全漏洞做出的贡献:
- CrowdStrike
- Mandiant
修改历史
| 日期 | 说明 |
|---|---|
| 2025年10月11日 | 版本1。初始发布。 |