Oracle E-Business Suite存在远程代码执行漏洞(CVE-2025-61882)

最新推荐文章于 2025-11-05 09:45:50 发布
最新推荐文章于 2025-11-05 09:45:50 发布
阅读量155 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: oracle 数据库 web安全 网络安全 laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/153281042

@[toc]

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. Oracle E-Business Suite简介

Oracle E-Business Suite中的Oracle并行处理产品

2.漏洞描述

Oracle E-Business Suite中的Oracle并行处理产品(组件:BI Publisher集成)存在漏洞。受影响的支持版本为12.2.3-12.2.14。该漏洞易于利用,允许未经身份验证的攻击者通过HTTP进行网络访问,从而危及Oracle并行处理。成功利用此漏洞可导致Oracle并行处理被接管。CVSS 3.1基础得分为9.8(对机密性、完整性和可用性的影响)。CVSS向量:(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

CVE编号:CVE-2025-61882

CNNVD编号:

CNVD编号:

3.影响版本

Oracle E-Business Suite

Oracle E-Business Suite存在远程代码执行漏洞(CVE-2025-61882)

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Oracle_E_Business 远程命令执行漏洞复现(CVE-2025-61882
iSee857的博客
10-29 287
Oracle E-Business Suite在处理用户请求时,多个组件存在安全缺陷:UiServlet未对用户提供的XML参数进行充分验证,导致SSRF漏洞;后续处理过程中缺乏对CRLF注入的有效防护,使攻击者可操纵HTTP请求;内部服务绑定配置不当及路径遍历防护不足,导致认证绕过;最终通过XSLT处理器加载恶意样式表时缺乏安全限制,实现远程代码执行CVE-2025-61882
Oracle EBS再曝高危RCE漏洞,攻击者可窃取敏感数据(CVE-2025-61884)
FreeBuf_的博客
10-13 444
Oracle EBS高危漏洞可致未授权RCE,企业数据面临窃取风险。
WGCLOUD存在默认账号密码admin/111111
nnn2188185的博客
09-26 94
WGCLOUD。
勒索软件专攻数据库弱点:Oracle 服务器安全防线告急
KKKlucifer的博客
09-23 1033
2025 年 Yarix 事件响应团队披露的案例显示,攻击者针对某企业 Oracle 服务器发起持续 36 小时的暴力破解,通过字典攻击与凭证喷洒技术,最终获取 "SYSDBA" 超级权限成功登录 —— 当系统从返回 "ORA-01017: 无效的用户名 / 密码" 转为 "ORA-00942: 表或视图不存在" 时,即标志着攻击者已突破身份认证防线。更普遍的问题是静态密码滥用,许多企业的 DBA 账号密码半年以上未更换,甚至存在 "sys/oracle" 等默认凭证,为暴力破解提供便利。
漏洞复现】广州图创图书馆集群管理系统任意文件读取漏洞
晚风不及你
01-17 1853
广州图创计算机软件开发有限公司是集产品研发、应用集成、客户服务为一体的高新技术企业,主要目标是为图书馆行业用户提供高质量的应用软件系统设计、集成和维护服务。
CVE-2025-61882深度分析:Oracle Concurrent Processing BI Publisher集成远程接管漏洞的技术原理与防御策略
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-03 1249
摘要: CVE-2025-61882Oracle EBS中Concurrent Processing与BI Publisher集成模块的高危漏洞(CVSS 9.8),允许攻击者通过未授权访问和XML注入实现远程代码执行漏洞影响EBS 12.1.3及12.2.3-12.2.12版本,攻击者可在30秒内获取服务器控制权,窃取财务数据或篡改业务报表。技术原理涉及接口权限缺失和XML参数注入,攻击链路仅需4步(探测、构造恶意XML、触发RCE、横向渗透)。漏洞对金融、制造等行业危害极大,可能导致核心数据泄露、内
漏洞复现】CVE-2025-8088|WinRAR 路径穿越漏洞:从原理到蓝屏攻击全流程
-曾牛的博客
09-06 1813
WinRAR 作为 Windows 平台最常用的压缩管理工具之一,几乎是每台电脑的 “标配软件”。但在 2025 年 8 月,一款影响范围覆盖的高危漏洞CVE-2025-8088)被披露 —— 这是一个典型的,攻击者可利用 Windows NTFS 文件系统的 “备用数据流(ADS)” 特性,制作恶意压缩包,绕过 WinRAR 的路径限制,将恶意文件静默解压到系统关键目录(如启动项、系统配置目录),进而实现远程控制、数据窃取,甚至触发系统蓝屏循环。
Oracle E-Business Suite软件 任意文件上传漏洞CVE-2022-21587)
0xSec
11-29 3622
Oracle E-Business SuiteOracle Web Applications Desktop Integrator 接口BneViewerXMLService处存在任意文件上传漏洞,未经身份验证的攻击者通过上传恶意的webshell文件,获取服务器权限。
Oracle E-Business配置器运行时UI未授权访问漏洞(CVE-2025-61884)
最新发布
m0_50125527的博客
11-05 80
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。
基于 Oracle 官方文档与 2024-2025 年多个落地案例,系统梳理了把 Oracle E-Business Suite(EBS)从本地(或他云)迁移到 Oracle Cloud Infras
金牌架构师
10-09 522
摘要: 本文系统梳理了Oracle EBS迁移至OCI的三种主流策略(Lift & Shift、Move & Improve、混合SaaS)及实施路径。重点介绍了迁移流程(评估、设计、演练、切换、优化)、工具链(如EBS Cloud Manager、ZDM)和关键挑战(兼容性问题、接口改造、停机窗口等),并提供了优化建议(自动化索引、存储分层)。迁移成功的关键在于充分评估与演练,同时后续云原生优化可最大化成本与高可用效益。
Oracle 紧急修复 E-Business Suite 中的新 0day
smellycat000的专栏
10-14 132
前不久,谷歌威胁情报组织 (GTIG) 和 Mandiant 公司披露称,Oracle 公司的 EBS 软件中的 0day 漏洞 CVE-2025-61882遭利用,影响数十家组织机构。” 美国国家标准与技术研究院 (NIST) 国家漏洞(NVD) 提到该漏洞时表示,“轻易可遭利用的漏洞导致具有网络访问权限的未认证攻击者通过 HTTP 攻陷 Oracle Configurator。Oracle 公司表示,“该漏洞可在未认证的情况下遭远程利用,如无需利用用户名和密码即可在网络遭利用。觉得不错,就点个 “
2025年10月07日全球AI前沿动态
ld326的专栏
10-07 2327
OpenAI DevDay 2025聚焦生态升级,发布Apps SDK将ChatGPT转型为开放应用平台,支持8亿用户直接使用内嵌应用;推出AgentKit可视化构建智能体工具和Codex正式版编程助手。技术突破包括字节4分15秒AI长视频生成、苹果RL4HS幻觉检测方法。AMD向OpenAI供应6吉瓦GPU算力并获股权认购权,AI投融资活跃,应用落地加速但伴版权争议。
ORACLE 高危漏洞(9.8分)
xiaofan23z的专栏
10-13 1152
CrowdStrike研究人员确认,攻击始于2025年8月9日,Clop利用该漏洞及7月补丁修复的其他漏洞,构建复杂攻击链,潜伏于企业网络中,直至9月30日发出首批勒索邮件。Oracle E-Business Suite(EBS)接连曝出两枚高危零日漏洞——CVE-2025-61882CVE-2025-61884,宛如悬在企业数字命脉上的双重利剑。臭名昭著的Clop勒索软件组织已利用CVE-2025-61882潜伏攻击数月,并可能将新披露的CVE-2025-61884纳入其复杂攻击链,进一步放大破坏力。
漏洞复现】图书馆集群管理系统存在逻辑绕过
失心少年
10-12 1301
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!广州图创计算机软件开发有限公司图书馆集群管理系统存在逻辑绕过,攻击者可通过此漏洞登录后台,从而造成不良影响。
XXE漏洞概述
爱党人士
05-24 1364
XXE(xml external entity -injection") 是xml的外部文档的一种注入漏洞。 首先来看一下xml的大体结构: DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。 主要出问题的大多是从DTD这部分出的。 DTD大体框架: DTD 内部声明 <! DOCTYPE 根元素 [元素声明]> DTD 外部...
ssrf与xxe
jonhswei的博客
04-24 415
是一种注入攻击,攻击者利用不安全的 XML 解析器,诱使应用解析外部实体,从而在服务器端执行恶意操作。通过 XXE 攻击,攻击者能够通过恶意构造的 XML 数据来引发应用加载外部实体,可能导致文件读取、服务器端请求伪造(SSRF)、远程代码执行等问题。都是常见的 Web 安全漏洞,SSRF 主要通过伪造请求攻击服务器,而 XXE 主要通过注入恶意 XML 来利用 XML 解析器。:攻击者通过上传、提交或注入恶意 XML 数据,其中包含对外部实体的引用(如外部 URL 或本地文件路径)。
漏洞复现】Geoserver远程代码执行漏洞CVE-2024-36401)
今天是几号的博客
07-03 6006
GeoServer已经发布先前版本的补丁,可以从下载页面(https://geoserver.org/)下载:2.25.1、2.24.3、2.24.2、2.23.2、2.21.5、2.20.7、2.20.4、2.19.2、2.18.0,从下载的补丁中获取gt-app-schema和gt-complex和 gt-xsd-core jar文件,替换掉WEB-INF/lib里面对应的文件即可。它为提供交互操作性而设计,使用开放标准发布来自任何主要空间数据源的数据。
GeoServer-CVE-2025-30220-XXE
m0_47398713的博客
08-23 653
GeoTools 库使用 Eclipse XSD 库来处理 XML 数据,并且未正确配置 EntityResolver,这导致了 XML 外部实体 (XXE) 漏洞。当 GeoServer 或 GeoNetwork 调用 GeoTools 库处理 XML 数据时,攻击者可以注入恶意的 XML 实体,进而读取本地文件或发起其他攻击。想看其他内容访问https://www.wlaqsys.com与https://pc.fenchuan8.com/#/index?
WinRAR远程代码执行漏洞CVE-2023-40477分析与缓解措施
资源摘要信息:"CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC" 知识点详细说明: 1. CVE-2023-40477简介 CVE-2023-40477是一个安全漏洞,它存在于流行的文件压缩软件WinRAR中。WinRAR是一个在个人电脑和服务器上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值