Oracle a corrigé une faille grave dans EBS qui permettait aux attaquants d’accéder à des composants logiciels sensibles sans identifiants de connexion.
Oracle a publié une mise à jour de sécurité pour corriger une faille grave (CVE-2025-61884) dans Oracle EBS. La vulnérabilité permet aux attaquants d’accéder sans authentification à des composants sensibles du logiciel via le réseau.
Le problème de sécurité se trouve dans le composant Runtime UI d’Oracle Configurator. Les attaquants peuvent exploiter la faille via le protocole HTTP, sans nécessiter de noms d’utilisateur ou de mots de passe. Oracle attribue à la faille un score CVSS de 7,5, indiquant un niveau de gravité élevé. La vulnérabilité affecte les versions 12.2.3 à 12.2.14 d’EBS.
Oracle recommande aux clients utilisant ces versions d’appliquer le correctif disponible dès que possible. Oracle souligne que seules les versions prises en charge, que ce soit dans le cadre des périodes de support standard ou prolongé, recevront un correctif. Les versions plus anciennes ne sont pas testées, mais pourraient également être vulnérables.
Correctif uniquement pour les versions prises en charge
La faille de sécurité est traitée via une alerte de sécurité distincte, indépendamment des mises à jour de sécurité trimestrielles régulières. Le correctif n’est disponible que pour les clients utilisant des versions de produits prises en charge. Ceux qui utilisent encore une version obsolète sont invités à effectuer une mise à niveau vers une version prise en charge pour accéder à la solution de sécurité.
Plus d’informations sur le correctif et les produits affectés sont disponibles dans un bulletin de support fourni par Oracle. La faille n’a pas été signalée par une partie externe. Oracle ne mentionne du moins aucune autre partie dans le bulletin de sécurité.
Le précédent « correctif d’urgence » qu’Oracle a dû déployer ne date que d’une semaine. Et ce n’est pas un hasard : le groupe de ransomware Clop s’en prendrait à d’anciennes vulnérabilités non corrigées dans le logiciel Oracle EBS. Il y a donc une certaine urgence à installer les correctifs si les vulnérabilités sont activement exploitées. Clop était également le cerveau derrière les attaques MOVEit qui ont fait de nombreuses victimes il y a deux ans.