10月上旬，Oracle修复了E-Business Suite（EBS）中的服务器端请求伪造（SSRF）漏洞CVE-2025-61884，并指出该漏洞极易被利用。由于不久前刚披露了零日漏洞CVE-2025-61882，人们不禁怀疑CVE-2025-61884可能已被用于实际攻击。如今，这一推测终于得到证实。

20日，美国网络安全与基础设施安全局（CISA）发布公告，将5个安全漏洞列入已遭利用漏洞目录（KEV），其中就包括CVE-2025-61884。CISA要求联邦机构必须在11月10日前完成修复。

CVE-2025-61884存在于EBS的Runtime UI中，CVSS风险评分为7.5。值得注意的是，尽管CISA在公告及KEV目录中将该漏洞描述为服务器端请求伪造类型，但在美国国家漏洞数据库（NVD）中，却将其标记为涵盖多个层面的弱点，例如：路径遍历、利用换行符的注入（CRLF注入）、身份验证机制不完善，以及HTTP请求劫持等。

此次CISA列入KEV的安全漏洞还包括：Windows操作系统SMB客户端访问控制不当漏洞CVE-2025-33073、Kentico Xperience Staging Sync Server安全漏洞CVE-2025-2746与CVE-2025-2747，以及苹果设备安全漏洞CVE-2022-48503。