Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
La vulnerabilidad permite a un atacante no autenticado, con acceso de red, enviar solicitudes HTTP al componente Runtime UI del módulo Oracle Configurator y comprometerlo. Si se explota exitosamente, el atacante podría acceder a datos críticos o a toda la información accesible por el módulo Configurator sin necesidad de credenciales.
Recursos afectados
- Oracle E-Business Suite versiones 12.2.3 a 12.2.14 (módulo Configurator – Runtime UI).
- Cualquier despliegue que utilice ese módulo web vulnerable como parte de EBS en esas versiones.
Solución
Aplicar inmediatamente el parche de emergencia publicado por Oracle para CVE-2025-61884. Oracle ha emitido una alerta de seguridad (Security Alert) con las instrucciones de parche para las versiones afectadas.
Recomendaciones
- Validar que la versión de Oracle EBS desplegada esté dentro del rango afectado (12.2.3–12.2.14) y, en ese caso, aplicar el parche lo antes posible.
- Realizar pruebas en entornos de ensayo antes de desplegar en producción para verificar compatibilidad.
- Limitar el acceso HTTP a la interfaz vulnerable solo a redes de confianza hasta aplicar el parche (por ejemplo, mediante firewall o listas de control de acceso).
- Monitorear logs de acceso al endpoint del módulo Configurator buscando solicitudes sospechosas.
- Mantenerse al día con las alertas de seguridad de Oracle y aplicar actualizaciones regulares.
- En caso de no poder actualizar inmediatamente, considerar medidas compensatorias como WAF (Web Application Firewall) para filtrar patrones maliciosos dirigidos al componente afectado.
Referencias