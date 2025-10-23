Die US-Sicherheitsbehörde CISA hat bestätigt, dass eine Schwachstelle in der Oracle E-Business Suite (EBS) aktiv ausgenutzt wird. Die Lücke "CVE-2025-61884
" wurde in den Katalog der "Known Exploited Vulnerabilities
" aufgenommen. Bundesbehörden in den USA seien dazu verpflichtet, betroffene Systeme bis spätestens 10. November 2025 zu patchen, heisst es auf der CISA-Website.
Laut Oracle
betrifft die Lücke das Configurator-Modul der EBS in den Versionen 12.2.3 bis 12.2.14. Sie ermögliche eine Server-Side Request Forgery (SSRF) ohne Authentifizierung, wodurch Angreifer unautorisiert auf sensible Daten zugreifen könnten. Oracle hatte die Schwachstelle am 11. Oktober mit einem Schweregrad von 7.5 offengelegt und gepatcht, jedoch zunächst nicht bestätigt, dass sie bereits in Angriffen verwendet wurde.
Die Bestätigung durch CISA erfolgt nur wenige Wochen, nachdem Oracle wegen einer anderen Zero-Day-Lücke (CVE-2025-61882)
Notfall-Patches bereitstellen musste. Diese wurde von der Ransomware-Gruppe Clop für gezielte Angriffe verwendet.