Oracle a publié une mise à jour de sécurité d’urgence ce week-end pour corriger une autre vulnérabilité de la suite E-Business (EBS) qui peut être exploitée à distance par des attaquants non authentifiés.
Identifiée comme CVE-2025-61884, cette faille de divulgation d’informations dans le composant d’interface utilisateur d’exécution affecte les versions 12.2.3 à 12.2.14 d’EBS et pourrait permettre à des acteurs de la menace non authentifiés de voler des données sensibles à distance après une exploitation réussie.
« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. Oracle recommande vivement aux clients d’appliquer les mises à jour ou les mesures d’atténuation fournies par cette alerte de sécurité dès que possible », a déclaré Oracle.
« Cette vulnérabilité a reçu un score de base CVSS de 7,5. Si elle est exploitée avec succès, cette vulnérabilité peut permettre l’accès à des ressources sensibles, a ajouté Rob Duhart, directeur de la sécurité d’Oracle.
Oracle a publié le correctif CVE-2025-61884 près de deux semaines après une campagne d’extorsion Clop ciblant des dirigeants de plusieurs entreprises, que la société a ensuite liée à des vulnérabilités EBS corrigées en juillet 2025, puis à une autre vulnérabilité Oracle EBS désormais identifiée comme CVE-2025-61882.
Depuis lors, la société de cybersécurité CrowdStrike a déclaré avoir repéré pour la première fois Clop exploitant CVE-2025-61882 comme un jour zéro depuis début août dans les attaques de vol de données et a averti que d’autres groupes de menaces pourraient également avoir rejoint les attaques.
Les chercheurs en sécurité de watchTowr Labs ont également découvert que CVE-2025-61882 est une chaîne de vulnérabilité qui peut permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance, comme en témoigne un exploit de preuve de concept (PoC) (avec un horodatage de mai 2025) qui a été divulgué en ligne par le gang de cybercriminalité Scattered Lapsus Hunters Hunters.
Le groupe d’extorsion Clop était à l’origine d’autres campagnes majeures de vol de données ciblant les jours zéro dans Accellion FTA, GoAnywhere MFT, Cleo et MOVEit Transfer, ce dernier ayant un impact sur plus de 2 770 organisations.
Oracle n’a pas identifié la vulnérabilité CVE-2025-61884 corrigée au cours du week-end comme exploitée à l’état sauvage, et ne l’a pas encore liée aux attaques CVE-2025-61882.
Cependant, étant donné que les instances Oracle EBS orientées Internet sont activement ciblées, il est fortement conseillé aux défenseurs d’appliquer le correctif hors bande CVE-2025-61884 dès que possible.