Oracle 於 10 月 11 日發布資安公告,修補其企業資源規劃(ERP)系統 E-Business Suite(EBS) 的高風險漏洞 CVE-2025-61884。這項漏洞可讓攻擊者在不經身分驗證(無需輸入帳號密碼)的情況下,從遠端執行攻擊,一旦成功便可能取得敏感資源。由於本月初才傳出勒索軟體 Clop(Cl0p) 附屬團體利用零時差漏洞 CVE-2025-61882 展開大規模入侵行動,新漏洞的出現引發外界關注,懷疑兩者是否存在關聯。
根據公告內容,CVE-2025-61884 出現在 EBS 的 Runtime UI 元件,受影響版本包括 12.2.3 至 12.2.14。官方評定該漏洞的 CVSS 風險分數為 7.5 分,屬於高風險等級。由於漏洞利用難度低,攻擊者只需透過網路傳送 HTTP 請求 就可能滲透至 Oracle Configurator。一旦被成功利用,駭客將能未經授權存取機密資料,甚至掌控 Configurator 可及的所有系統內容。
Oracle 資安長 Rob Duhart 隨後在部落格文章中表示,該漏洞確實影響部分 EBS 環境,但未進一步說明是否已有實際被利用的案例,也未揭露哪些具體系統架構受影響。由於官方尚未釋出更多技術細節,專家呼籲企業應盡速安裝安全更新,避免潛在威脅擴散。
