Oracle Identity Manager漏洞CVE-2025-61757

Oracle Identity Manager适用于企业IT资源访问的集中治理，适合需跨云和本地环境统一身份管理组织，降低安全风险并简化合规流程‌。

一、基本情况

Oracle Identity Manager（OIM）是 Oracle 身份与访问管理（IAM）套件的核心组件，支持多种资源（数据库、操作系统、ERP系统等）。

Oracle Identity Manager是Oracle公司一款企业级身份治理与管理解决方案，通过统一目录实现弹性扩展，优化身份管理项目的部署效率。

Oracle Identity Manager属于融合中间件产品系列，旨在跨所有企业资源（包括云端和本地环境）管理用户身份和权限的端到端生命周期。

栋科技漏洞库关注到关于Oracle Identity Manager中存在的一个远程代码执行漏洞，漏洞被追踪为CVE-2025-61757，CVSS 3.X评分9.4。

二、漏洞分析

CVE-2025-61757是Oracle Identity Manager的漏洞，攻击者构造恶意请求绕过权限验证，利用相关后台功能执行任意代码，控制服务器。

该漏洞源于SecurityFilter对请求URI处理不当，攻击者可通过添加参数;.wadl，

从而绕过身份验证，然后利用Groovy脚本在处理器编译时执行任意代码，从而获取服务器权限。

三、影响范围

Oracle Identity Manager 14.1.2.1.0

Oracle Identity Manager 12.2.1.4.0

四、修复建议

Oracle Identity Manager > 14.1.2.1.0

Oracle Identity Manager > 12.2.1.4.0

五、参考链接

管理员已设置登录后刷新可查看