Oracle 安全警报公告 - CVE-2025-61884
描述
此安全警报针对Oracle电子商务套件(Oracle E-Business Suite)中的漏洞CVE-2025-61884。此漏洞无需身份验证即可远程利用,即可以通过网络进行利用,无需用户名和密码。如果被成功利用,此漏洞可能允许访问敏感资源。
Oracle强烈建议客户尽快应用此安全警报提供的更新或缓解措施。Oracle始终建议客户保持在受主动支持的版本上,并毫不拖延地应用所有安全警报和关键补丁更新安全补丁。
受影响产品及补丁信息
此安全警报解决的安全漏洞影响以下列出的产品。请点击下方"补丁可用性文档"列中的链接以获取说明。
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| Oracle电子商务套件, 版本 12.2.3-12.2.14 | Oracle电子商务套件 |
安全警报支持的产品和版本
通过安全警报计划发布的补丁仅提供给生命周期支持政策的Premier Support或Extended Support阶段涵盖的产品版本。Oracle建议客户规划产品升级,以确保他们当前运行的版本可以获得通过安全警报计划发布的补丁。
未处于Premier Support或Extended Support的产品版本未经过此安全警报所解决漏洞的测试。然而,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
参考
- Oracle关键补丁更新、安全警报和公告
- Oracle关键补丁更新和安全警报 - 常见问题
- 风险矩阵定义
- Oracle对通用漏洞评分系统(CVSS)的使用
- 风险矩阵的英文文本版本
- 风险矩阵的CSAF JSON版本
- CVE到公告/警报的映射
- Oracle生命周期支持政策
- JEP 290参考阻止列表过滤器
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本可在此处查看。
安全漏洞使用CVSS 3.1版进行评分(参见Oracle CVSS评分以了解Oracle如何应用CVSS 3.1版)。
Oracle对安全警报解决的每个安全漏洞进行分析。Oracle不会向客户透露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用可能带来的影响的信息。Oracle提供此信息,以便客户可以根据其产品使用的具体情况自行进行风险分析。更多信息,请参见Oracle漏洞披露政策。
风险矩阵中列出的协议意味着其所有安全变体也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS也受影响。只有当协议的安全变体是唯一受影响的变体时,才会在风险矩阵中列出。
致谢
Oracle对以下组织为与此安全警报相关的安全漏洞做出的贡献表示感谢:
- CrowdStrike
- Mandiant
修订历史
| 日期 | 说明 |
|---|---|
| 2025年10月11日 | 版本 1. 首次发布。 |
Oracle 电子商务套件 风险矩阵
此安全警报包含针对Oracle电子商务套件的1个新安全补丁。此漏洞无需身份验证即可远程利用,即可通过网络利用,无需用户凭据。此风险矩阵的英文文本形式可在此处找到。
| CVE ID | 产品 | 组件 | 协议 | 无需认证即可远程利用? | CVSS 版本 3.1 风险(参见风险矩阵定义) | 受影响的受支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| 基础分数 | 攻击向量 | 攻击复杂度 | |||||
| CVE-2025-61884 | Oracle Configurator | Runtime UI | HTTP | 是 | 7.5 | 网络 | 低 |