Oracle ha publicado su actualización trimestral Critical Patch Update (CPU) de octubre 2025, que contiene 374 parches de seguridad cubriendo más de 260 CVE, incluyendo varias vulnerabilidades de severidad crítica y muchas explotables de forma remota sin autenticación. Esta actualización es complementaria a recientes alertas de seguridad específicas, como las referidas a CVE‑2025‑61882 y CVE‑2025‑61884 en E-Business Suite, que ya estaban siendo explotadas en campañas de extorsión.
Análisis
La amplitud del parcheo es muy alta: incluye 374 correcciones, de las cuales más de 230 abordan vulnerabilidades remotamente explotables sin autenticación.
Las familias de productos con mayor número de parches son:
-
- Oracle Communications Applications: 64 parches, 46 de ellos explotables sin autenticación.
- Oracle Communications (en general): 73 parches, 47 explotables sin autenticación.
- Otras como Financial Services, Fusion Middleware, MySQL, Retail Applications, etc., también presentan vulnerabilidades significativas.
Recomendaciones
-
-
Realizar inventario inmediato de todas las instancias de productos Oracle en la organización: versión, módulo, exposición a red, criticidad.
-
Priorizar la aplicación del CPU octubre 2025 lo antes posible, empezando por los sistemas con mayor riesgo (expuestos, servicios críticos, accesibles sin autenticación).
-
En entornos que no puedan parchear de inmediato: implementar controles compensatorios.
-
Planificar actualizaciones para evitar quedar en versiones no parcheadas.
-
Referencias
https://www.securityweek.com/oracle-releases-october-2025-patches/