A Oracle lançou uma atualização de segurança emergencial no fim de semana para corrigir outra vulnerabilidade do E-Business Suite (EBS) que pode ser explorada remotamente por invasores não autenticados.
Rastreada como CVE-2025-61884, essa falha de divulgação de informações no componente Runtime UI afeta as versões 12.2.3 a 12.2.14 do EBS e pode permitir que agentes de ameaças não autenticados roubem dados confidenciais remotamente após uma exploração bem-sucedida.
"Esta vulnerabilidade pode ser explorada remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de nome de usuário e senha. A Oracle recomenda fortemente que os clientes apliquem as atualizações ou mitigações fornecidas por este Alerta de Segurança o mais rápido possível", afirmou a Oracle.
O player de vídeo está reproduzindo um anúncio. Você pode pular o anúncio em 5 segundos com um mouse ou teclado.
"Esta vulnerabilidade recebeu uma pontuação base CVSS de 7,5. Se explorada com sucesso, pode permitir o acesso a recursos confidenciais", acrescentou Rob Duhart, Diretor de Segurança da Oracle.
A Oracle lançou o patch CVE-2025-61884 quase duas semanas após uma campanha de extorsão da Clop contra executivos de diversas empresas, que a empresa posteriormente vinculou a vulnerabilidades do EBS corrigidas em julho de 2025 e, posteriormente, a outra vulnerabilidade do Oracle EBS, agora identificada como CVE-2025-61882.
Desde então, a empresa de segurança cibernética CrowdStrike afirmou ter detectado pela primeira vez o Clop explorando o CVE-2025-61882 como um ataque de dia zero desde o início de agosto em ataques de roubo de dados e alertou que outros grupos de ameaças também podem ter se juntado aos ataques.
Pesquisadores de segurança do watchTowr Labs também descobriram que o CVE2025-61882 é uma cadeia de vulnerabilidades que pode permitir que invasores não autenticados obtenham execução remota de código, como evidenciado por uma exploração de prova de conceito (PoC) (com registro de data e hora de maio de 2025) que vazou online pela gangue de crimes cibernéticos Scattered Lapsus$ Hunters.
O grupo de extorsão Clop estava por trás de outras grandes campanhas de roubo de dados visando ataques de dia zero no Accellion FTA, GoAnywhere MFT, Cleo e MOVEit Transfer, com esta última impactando mais de 2.770 organizações.
A Oracle não classificou a vulnerabilidade CVE-2025-61884 corrigida no fim de semana como explorada in loco e ainda não a vinculou aos ataques CVE-2025-61882.
No entanto, considerando que as instâncias do Oracle EBS voltadas para a internet são alvos ativos, recomenda-se fortemente que os defensores apliquem o patch CVE-2025-61884 fora de banda o mais rápido possível.