Oracle heeft een ernstig lek in EBS gedicht dat aanvallers zonder inloggegevens toegang geeft tot gevoelige software-onderdelen.
Oracle heeft een beveiligingsupdate uitgebracht om een ernstig lek (CVE-2025-61884) in Oracle EBS te verhelpen. De kwetsbaarheid laat aanvallers toe om zonder authenticatie toegang te krijgen tot gevoelige onderdelen van de software via het netwerk.
Het beveiligingsprobleem bevindt zich in de Runtime UI-component van Oracle Configurator. Aanvallers kunnen het lek misbruiken via het HTTP-protocol, zonder dat gebruikersnamen of wachtwoorden nodig zijn. Oracle kent het lek een CVSS-score van 7,5 toe, wat duidt op een hoge ernstgraad. De kwetsbaarheid treft versies 12.2.3 tot en met 12.2.14 van EBS.
Klanten die gebruikmaken van deze versies worden door Oracle aangeraden om zo snel mogelijk de beschikbare patch toe te passen. Oracle benadrukt dat enkel ondersteunde versies, zij het onder de standaard- of verlengde ondersteuningstermijnen, een patch toebedeeld zullen krijgen. Oudere versies worden niet getest, maar mogelijk zijn ze eveneens kwetsbaar.
Patch enkel voor ondersteunde versies
Het beveiligingslek wordt aangepakt via een aparte Security Alert, los van de reguliere driemaandelijkse beveiligingsupdates. De patch is enkel beschikbaar voor klanten die gebruikmaken van ondersteunde productversies. Wie nog op een verouderde versie werkt, krijgt het advies om te upgraden naar een ondersteunde versie om toegang te krijgen tot de beveiligingsoplossing.
Meer informatie over de patch en de getroffen producten is te vinden in een supportbulletin dat Oracle ter beschikking stelt. Het lek werd niet gemeld door een externe partij. Oracle vermeldt althans geen andere partijen in het beveiligingsbulletin.
De vorige ‘noodpatch’ die Oracle moest uitrollen, dateert van nog maar een week geleden. En dat is geen toeval: de ransomwarebende Clop zou het gemunt hebben op oude, ongepatchte kwetsbaarheden in de Oracle EBS-software. Er zit dus een zekere urgentie achter het installeren van de patches als de kwetsbaarheden actief worden misbruikt. Clop was ook het brein achter de MOVEit-aanvallen die twee jaar geleden veel slachtoffers maakten.