Producto(s) afectado(s):
- Oracle E‑Business Suite versiones 12.2.3 – 12.2.14 (componente: Oracle Configurator, Runtime UI).
Descripción
Se ha identificado una vulnerabilidad en el Oracle E‑Business Suite (Oracle Configurator) la misma permite explotar el equipo remotamente sin autenticación; es decir, a través de una red sin necesidad de nombre de usuario ni contraseña. Si se explota con éxito, podría permitir el acceso a recursos confidenciales. La misma fue denominada como CVE-2025-61884 con un score CVSSv3 7.5.
Es explotable remotamente sin autenticación vía HTTP: un atacante no autenticado en la red puede aprovecharla para obtener acceso no autorizado a datos críticos gestionados por Oracle Configurator. Oracle recomienda aplicar las actualizaciones de seguridad cuanto antes.
Solución:
Implementar las actualizaciones o mitigaciones publicadas por Oracle para CVE‑2025‑61884 inmediatamente en todas las instancias afectadas.
Para más información puede dirigirse al enlace del reporte seguridad:
https://www.oracle.com/security-alerts/alert-cve-2025-61884.html