CVE-2025-61884

Oracle E-Business Suite

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-10-20

Официальное описание

Oracle E-Business Suite contains a server-side request forgery (SSRF) vulnerability in the Runtime component of Oracle Configurator. This vulnerability is remotely exploitable without authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-61884 представляет собой подделку запросов со стороны сервера (SSRF) в компоненте Runtime модуля Oracle Configurator системы Oracle E-Business Suite. Она позволяет удаленному атакующему без предварительной аутентификации отправлять специально сформированные HTTP-запросы к уязвимому компоненту. В результате сервер Oracle EBS начинает выполнять сетевые запросы от своего имени к произвольным внутренним или внешним ресурсам. Основные риски: - Сканирование внутренней сети (Reconnaissance), скрытой за межсетевым экраном. - Доступ к внутренним API и микросервисам, не требующим аутентификации при запросах с доверенных IP-адресов. - Компрометация облачных метаданных (например, AWS IMDS, Azure Instance Metadata Service), что может привести к краже токенов доступа. - Обход средств защиты периметра (WAF/Firewall).

Как исправить

Единственным надежным способом устранения уязвимости является установка официального обновления безопасности (Critical Patch Update) от Oracle. Для Oracle E-Business Suite версий 12.2.x процесс установки патча выполняется с помощью утилиты AD Online Patching (adop).

Шаги по установке: 1. Сделайте резервную копию базы данных и файловой системы приложения. 2. Загрузите актуальный Critical Patch Update (CPU), закрывающий данную уязвимость, с портала My Oracle Support. 3. Подготовьте систему к установке патча:

adop phase=prepare
  1. Примените загруженный патч (замените номер патча на актуальный из документации Oracle):
adop phase=apply patches=12345678
  1. Завершите процесс установки и выполните переключение файловых систем:
adop phase=finalize
adop phase=cutover
  1. Очистите старые редакции объектов:
adop phase=cleanup

Временные меры

Если оперативная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации.

Ограничение исходящего трафика (Egress Filtering): Настройте межсетевой экран на сервере Oracle EBS так, чтобы запретить любые несанкционированные исходящие HTTP/HTTPS запросы. В облачной инфраструктуре обязательно заблокируйте доступ к IP-адресу службы метаданных (169.254.169.254):

iptables -A OUTPUT -d 169.254.169.254 -j DROP

Настройка Web Application Firewall (WAF): Создайте правила WAF для блокировки запросов, содержащих подозрительные URL-адреса, внутренние IP-адреса или схемы (например, file://, dict://, gopher://) в параметрах, передаваемых к эндпоинтам Oracle Configurator.

Блокировка компонента на уровне Oracle HTTP Server (OHS): Если модуль Oracle Configurator не используется в бизнес-процессах компании, заблокируйте доступ к его URI на уровне веб-сервера (OHS/Apache), добавив правила в конфигурационный файл:

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/OA_HTML/cz.* [NC]
RewriteRule ^.*$ - [F,L]

Перезапустите OHS для применения настроек:

adapcctl.sh stop
adapcctl.sh start
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей