Oracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけ

セキュリティニュース

投稿日時: 更新日時:

Oracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけ

2025年10月11日、Oracle (オラクル)は セキュリティアラートを公開し、Oracle E-Business Suite(EBS)における新たな脆弱性 CVE-2025-61884 への対応を至急実施するよう顧客に呼びかけました。問題はネットワーク越しに認証なしで悪用可能で、攻撃が成功すると 機密リソースへアクセスされるおそれがあります。CVSS v3.1 基本値は 7.5(High) と評価されています。

影響範囲

  • 対象製品:Oracle E-Business Suite

  • 対象バージョン12.2.3 ~ 12.2.14

  • 影響コンポーネントOracle Configurator / Runtime UI

  • 影響プロトコル:HTTP(※安全な変種である HTTPS も含まれると明示)

  • 悪用要件認証不要(Unauthenticated)/ネットワーク経由で悪用可能

Oracle は Premier Support または Extended Support の対象バージョンに対してパッチ(Security Alert 計画に基づく更新)を提供します。サポート外リリースは検証対象外ですが、「より古いバージョンも影響する可能性が高い」として、サポート対象へのアップグレードを強く推奨しています。

この脆弱性の悪用については、記載されていませんが直近でOracle E-Business Suiteの別の脆弱性がゼロデイ攻撃に悪用された為本脆弱性も早急に対処する事をおすすめします。

ゼロデイ攻撃の概要

Google Threat Intelligence Group(GTIG)とMandiantは、Oracle(オラクル) E-Business Suite(以下、EBS)を標的にした大規模なサイバー攻撃キャンペーンを確認したと公表しました。

攻撃者はハッカー集団CL0P(クロップ)ブランドを名乗り、2025年9月29日以降、各社の経営層に対して「EBSから機密データを盗んだ」と主張するメールを大量に送り付けています。表向きの恐喝メールは突然の通告のように見えますが、実際には数週間から数か月に及ぶ静かな侵入とデータ収集の後段として発動していることが、今回の分析で明らかになりました。Oracleは2025年10月4日に緊急パッチ(CVE-2025-61882)を案内しており、すでに実害が生じている前提での確認と封じ込めが必要になります。