Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意

セキュリティニュース

投稿日時: 更新日時:

Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意

2025年10月20日 米CISAは、Oracle E-Business Suite(EBS)のSSRF脆弱性「CVE-2025-61884」が実際に悪用されていることを確認し、Known Exploited Vulnerabilities(KEV)に追加しました。連邦民間行政機関(FCEB)は2025年11月10日までの是正が義務化されます。

概要

脆弱性CVE-2025-61884はOracle ConfiguratorのRuntime UIコンポーネントに存在し、認証不要で悪用可能です成功すると機微リソースへのアクセスを許す可能性があり、Oracleはセキュリティアラートで速やかなアップデート適用を強く推奨しています(対象バージョンは12.2.3〜12.2.14)。

Google Threat Intelligence Group(GTIG)とMandiantは、OracleE-Business SuiteのCVE-2025-61884を標的にした大規模なサイバー攻撃キャンペーンを確認したと公表しています。。

また、同時期、watchTowr Labsは、EBSで観測された侵害が複数の弱点を連鎖させて成立する事前認証のリモートコード実行(RCE)チェーン(CVE-2025-61882)であることを詳細に解明しました。

両者は別個のCVEですが、最初段の到達点として同じUiServlet(/configurator/UiServlet)を経由するSSRFが鍵になっており、実運用では61884の修正適用を最優先しつつ、61882が示した連鎖的な攻撃面も併せて閉じる必要があります。

CVE-2025-61884 の概要

Oracle E-Business Suite(EBS)12.2.3~12.2.14 の Oracle Configurator(Runtime UI)に存在するサーバーサイド・リクエスト・フォージェリ(SSRF)脆弱性です。

認証不要でネットワーク越しに悪用可能で、攻撃者が細工したパラメータ(return_url など)を通じて、EBS サーバー自身に任意の外部/内部宛て HTTP リクエストを送らせることができます。

その結果、通常は到達できない敏感リソースへのアクセスや、後続の攻撃チェーンの起点となる恐れがあります。米CISAは本脆弱性の実悪用を確認し KEV(既知悪用脆弱性)に追加しました。

Oracle はセキュリティアラートで修正の即時適用を強く推奨しており、サポート外バージョンについてはサポート対象へのアップグレードが求められます。

CVE-2025-61882 の概要

watchTowr Labsの分析により、EBS 環境で観測された侵害は「単一の不具合」ではなく、複数の弱点を連鎖させて事前認証のリモートコード実行(RCE)に至る攻撃チェーンであることが示されています。

代表的な流れは、

/OA_HTML/configurator/UiServlet を突く SSRF でサーバー側から任意先へ通信させ、

② CRLF インジェクションや Keep-Alive を使って SSRF リクエスト内容を高度に制御し、

③ 内部で待受けるアプリケーション用 HTTP サービス(例:TCP/7201)に到達、

/OA_HTML/help/ 経由のパス・トラバーサルで保護対象 JSP へ横滑り、

⑤ 外部から読み込ませた XSLT を実行させて Java の拡張機能経由で任意コード実行——という段階的な手口です。

Oracle は本件に関するセキュリティアラートを公表しており、ベンダーパッチの適用に加えて、UiServlet への外部到達制御、内部サービスの露出削減、XSLT の外部参照禁止・拡張機能無効化など多層防御を推奨しています。

出典

Well, Well, Well. It’s Another Day. (Oracle E-Business Suite Pre-Auth RCE Chain – CVE-2025-61882)