Oracle corrige une nouvelle vulnérabilité dans E-Business Suite

Oracle vient de publier une alerte pour une vulnérabilité affectant E-Business Suite. Référencée CVE-2025-61884, elle est exploitable sans authentification.

L’éditeur fait état d’une note CVSS 3.1 de base de 7,5 (sur 10). Exploitée avec succès, « elle peut permettre d’accéder à des ressources sensibles », précise Rub Duhart, RSSI d’Oracle Security, dans un billet de blog.

Les versions 12.2.3 à 12.2.14 de la suite d’Oracle sont affectées. Dans son alerte, l’éditeur « recommande vivement à ses clients d’appliquer dès que possible les mises à jour ou les mesures correctives fournies dans cette alerte de sécurité ».

Cette alerte survient moins d’une semaine après la diffusion, dans l’urgence, d’un correctif pour une autre vulnérabilité, la CVE-2025-61882. Cette dernière s’est avérée exploitée depuis plusieurs semaines dans le cadre d’une campagne impliquant Cl0p.

Ce groupe semble ne pas avoir été le seul à avoir eu accès au code d’exploitation de cette vulnérabilité : les ShinyHunters sur l’une de leurs chaînes Telegram – où ils se présentent désormais comme les « Scattered Lapsus$ Shiny Hunters » (SLSH) – ont également été en possession d’un démonstrateur.

Oracle ne fait pas état d’exploitation connue de la CVE-2025-61884, à ce jour.