Le 4 octobre 2025, Oracle a émis une alerte de sécurité concernant une vulnérabilité critique dans sa suite E-Business, identifiée sous le nom de CVE-2025-61882. Cette faille permet aux attaquants d’exécuter du code à distance sans authentification, représentant une menace sévère avec un score CVSS de 9,8. Elle affecte les versions 12.2.3 à 12.2.14 d’Oracle EBS, et sa correction nécessite l’installation de la mise à jour critique d’octobre 2025, à condition que la mise à jour d’octobre 2023 soit déjà installée. Les systèmes non corrigés, en particulier ceux accessibles en ligne, demeurent vulnérables.
Les attaquants exploitent cette vulnérabilité en utilisant des requêtes HTTP POST vers des points d’accès Oracle tels que /OA_HTML/SyncServlet. Ils manipulent la fonctionnalité XML Publisher en téléchargeant des modèles XSLT malveillants qui, une fois traités, exécutent du code sur le serveur. Cette méthode a été utilisée dans des attaques réelles pour obtenir un accès persistant et exfiltrer des données. La vulnérabilité est activement exploitée par des groupes comme Cl0p et GRACEFUL SPIDER, et la publication de code de preuve de concept public accélère sa propagation.
AttackIQ recommande aux organisations de tester leurs défenses en utilisant des émulations qui simulent ces attaques, en se concentrant sur l’efficacité des pare-feu d’applications web contre les requêtes POST initiales de l’exploit. En adoptant ces stratégies, les organisations peuvent renforcer leur posture de sécurité face à cette menace en constante évolution.
