Oracle发布紧急安全更新 修复EBS高危漏洞

10月11日，Oracle发布安全公告，修复其ERP系统E-Business Suite（EBS）中的安全漏洞CVE-2025-61884。该漏洞允许攻击者在无需身份验证（如输入账号、密码）的情况下远程利用，一旦成功触发，可能访问敏感资源。由于本月初刚曝出勒索软件Clop（Cl0p）关联组织利用零日漏洞CVE-2025-61882发起大规模攻击，此次新漏洞的披露，很难不让人联想两者之间可能存在关联。

CVE-2025-61884存在于EBS的Runtime UI组件中，影响12.2.3至12.2.14版本的EBS，CVSS风险评分为7.5分。该漏洞极易被利用，未经授权的攻击者只需通过HTTP进行网络访问，就有可能渗透Oracle Configurator。一旦成功利用该漏洞实施攻击，攻击者可能在未授权的情况下访问重要数据，或完全获取Oracle Configurator所能访问的全部数据。

值得一提的是，Oracle安全负责人Rob Duhart在博客文章中透露，此漏洞影响部分EBS环境。但他并未说明该漏洞是否已被实际利用，也未具体指出哪些类型的EBS存在此类弱点。