概述
CVE-2025-62481是Oracle E-Business Suite中Oracle Marketing产品(营销管理组件)存在的高危安全漏洞。
漏洞详情
受影响版本
- 受影响版本:12.2.3至12.2.14
漏洞特征
- 易利用性:攻击者无需身份验证,只需通过网络通过HTTP访问即可利用
- 攻击后果:成功利用可完全接管Oracle Marketing组件
- CVSS 3.1基础评分:9.8(严重级别)
- CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
时间线
- 发布日期:2025年10月21日晚上8:20
- 最后修改日期:2025年10月21日晚上9:15
- 远程利用:是
- 信息来源:secalert_us@oracle.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Oracle | marketing |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | secalert_us@oracle.com |
相关资源和解决方案
CWE关联
CWE-306:关键功能缺少身份验证
CAPEC攻击模式
- CAPEC-12:选择消息标识符
- CAPEC-36:使用未发布的接口或功能
- CAPEC-62:跨站请求伪造
- CAPEC-166:强制系统重置值
- CAPEC-216:通信信道操纵
漏洞历史记录
2025年10月21日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CWE | CWE-306 |
2025年10月21日 - 由secalert_us@oracle.com接收新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 漏洞描述内容 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | 参考 | https://www.oracle.com/security-alerts/cpuoct2025.html |