Oracle ha publicat la seua actualització trimestral Critical Patch Update (CPU) d’octubre 2025, que conté 374 pedaços de seguretat que cobrixen més de 260 CVE, entre les quals hi ha diverses de severitat crítica i moltes explotables de manera remota sense autenticació Esta actualització és complementària a recents alertes de seguretat específiques, com les referides a CVE‑2025‑61882 i CVE‑2025‑61884 en E-Business Suite, que ja estaven sent explotades en campanyes d’extorsió.
Anàlisi
L’amplitud dels pedaços és molt alta: inclou 374 correccions, de les quals més de 230 aborden vulnerabilitats remotament explotables sense autenticació.
Les famílies de productes amb major nombre de pedaços són:
-
- Oracle Communications Applications: 64 pedaços, 46 d’ells explotables sense autenticació.
- Oracle Communications (en general): 73 pedaços, 47 explotables sense autenticació.
- Unes altres com Financial Services, Fusion Middleware, MySQL, Retail Applications, etc., també presenten vulnerabilitats significatives.
L’explotació prèvia de vulnerabilitats com CVE-2025-61882 i CVE-2025-61884 (en E-Business Suite) indica que els actors d’amenaça estan actius i que la finestra de risc és elevada.
Atesa l’àmplia implantació de productes Oracle en entorns crítics (bases de dades, middleware, aplicacions empresarials), l’acumulació de vulnerabilitats explotables sense autenticació representa un risc operatiu i de compliment per a infraestructures de missió crítica.
Recomanacions
-
-
Fer inventari immediat de totes les instàncies de productes Oracle en l’organització: versió, mòdul, exposició a xarxa, criticitat.
-
Prioritzar l’aplicació del CPU octubre 2025 el més prompte possible, començant pels sistemes amb major risc (exposats, servicis crítics, accessibles sense autenticació).
-
En entorns que no puguen posar pedaços immediatament: implementar controls compensatoris.
-
Planificar actualitzacions per a evitar quedar en versions sense pedaços.
-
Referències
https://www.securityweek.com/oracle-releases-october-2025-patches/