Oracle E-Business Suite漏洞CVE-2025-61882

Oracle E-Business Suite（通常简称 Oracle EBS）是一款应用于综合性业务管理软件，提供财务管理、供应链管理、人力资源管理等功能。

一、基本情况

Oracle EBS是甲骨文公司推出的一套集成化企业资源计划（ERP）解决方案，涵盖财务、供应链、人力资源、客户关系管理核心业务模块。

Oracle EBS 的核心是通过 “模块化 + 集成化” 设计，打破企业内部各部门的数据孤岛，实现财务、采购、生产、销售等业务流程无缝衔接。

栋科技漏洞库关注到关于Oracle E-Business Suite远程代码执行漏洞，该漏洞现在已经被追踪为CVE-2025-61882，漏洞CVSS 3.1评分9.8。

二、漏洞分析

CVE-2025-61882漏洞是Oracle E-Business Suite受影响版本中存在的一个远程代码执行漏洞，成功利用漏洞可导致Oracle并行处理被接管。

该安全漏洞源于Oracle E-Business Suite存在远程代码执行漏洞，存在于其Oracle Concurrent Processing组件的BI Publisher集成功能中。

漏洞允许未经身份验证的攻击者通过网络远程执行代码，通过构造恶意的HTTP请求实现入侵，即攻击者无需用户名和密码即可发起攻击。

攻击者可以利用漏洞链中的多个弱点（如SSRF、CRLF注入、路径穿越、XSLT注入等）逐步提升权限，成功利用后可实现远程代码执行。

具体来说，该漏洞存在于Oracle E-Business Suite中的Oracle并行处理产品（组件：BI Publisher集成），影响支持版本为12.2.3-12.2.14。

成功利用可能导致攻击者在目标系统上执行任意代码从而实现完全控制，严重威胁系统安全，已被多个攻击者利用，包括勒索软件团伙。

Scattered Lapsus$ Hunters犯罪团伙已在网上泄露了针对CVE-2025-61882漏洞的概念验证利用代码。

Clop组织此前还曾利用Accellion FTA、GoAnywhere MFT等产品的零日漏洞发起大规模数据窃取攻击，影响超过2770家组织。

该漏洞易于利用，允许未经身份验证的攻击者通过HTTP进行网络访问从而危及Oracle并行处理，因此建议相关用户积极做好漏洞修复工作。

三、影响范围

12.2.3 <= Oracle E-Business Suite <= 12.2.14

四、修复建议

Oracle E-Business Suite > 12.2.14

五、参考链接

管理员已设置登录后刷新可查看