Introducción
CVE-2025-61882 está siendo aprovechada por actores maliciosos en campañas de robo de datos y extorsión. En particular, se ha reportado su uso por el grupo Clop en ataques contra instalaciones de Oracle EBS. En los ataques observados se han usado indicadores de compromiso (IOCs) publicados por Oracle para ayudar en la detección y mitigación de los sistemas comprometidos.
Análisis
CVE-2025-61882 es una vulnerabilidad en Oracle E-Business Suite, concretamente en el componente “Concurrent Processing / BI Publisher Integration”. Es remotamente explotable sin necesidad de autenticación, es decir, un atacante puede enviar peticiones maliciosas directamente desde red hacia el sistema vulnerable sin credenciales.
Si se explota con éxito, permite ejecución de código remoto (RCE), lo que puede llevar a la toma completa del componente de Concurrent Processing, comprometiendo confidencialidad, integridad y disponibilidad del sistema. La explotación exitosa de esta vulnerabilidad puede dar control completo del componente afectado, lo que podría permitir escalar privilegios o comprometer otros subsistemas dependiente
Recomendaciones
Afecta a las versiones de Oracle EBS 12.2.3 hasta 12.2.14.
Oracle ha publicado un Security Alert con el parche correspondiente para esta vulnerabilidad. Como requisito, el Critical Patch Update de octubre de 2023 debe estar aplicado antes de poder instalar este parche de emergencia.
Referencias
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/