在企業資訊安全領域，身份管理系統的安全性至關重要，任何漏洞都可能對核心系統造成連鎖反應。美國網路安全和基礎設施安全局（CISA）近日針對 Oracle Identity Manager (OIM) 中一項極為嚴重的安全漏洞發出了緊急警告，並確認該漏洞已被攻擊者主動利用於惡意活動中。這使得所有使用 OIM 的組織，特別是聯邦機構，面臨極高的網路安全風險。

美國網路安全和基礎設施安全局 (CISA) 週五將影響 Oracle Identity Manager 的一個嚴重安全漏洞添加到其已知利用漏洞 ( KEV ) 目錄中，並指出有證據表明該漏洞已被積極利用。此漏洞編號為 CVE-2025-61757（CVSS 評分：9.8），是一個關鍵功能缺少身份驗證的漏洞，可能導致未經身份驗證的遠端程式碼執行。此漏洞影響 12.2.1.4.0 和 14.1.2.1.0 版本。 Oracle 已在上個月發布的季度更新中修復了漏洞。

該漏洞的 CVSS 評分高達 9.8，標誌著其在技術上的嚴重性屬於最高級別。問題的根源在於 OIM 的關鍵功能缺乏足夠的身份驗證機制，使得未經授權的攻擊者能夠利用此缺陷，最終實現遠端程式碼執行（RCE）。一旦 RCE 攻擊成功，攻擊者將獲得在目標系統上執行任意指令的能力，可能導致全面系統接管或資料竊取。

發現該漏洞的Searchlight Cyber 研究人員 Adam Kues 和 Shubham Shah表示，該漏洞可能允許攻擊者存取 API 端點，進而允許他們「操縱身份驗證流程、提升權限，並在組織的核心系統中橫向移動」。

這項研究發現強調了漏洞的深遠影響：攻擊者不僅限於直接攻擊 OIM，還能利用其作為跳板，透過操縱身份驗證流程來提升在整個企業網路中的權限，最終達到對組織核心資產進行橫向滲透的目的。

鑑於該漏洞已被積極利用，聯邦民事行政部門 (FCEB) 各機構必須在 2025 年 12 月 12 日之前應用必要的修補程式，以確保其網路安全。

儘管 Oracle 已在上個月的季度更新中發布了修復程式，但 CISA 將其列入 KEV 目錄，意味著所有相關機構和企業必須將修補行動視為最優先事項。對於非聯邦機構的企業而言，雖然沒有強制性的截止日期，但面對已被主動利用的 RCE 漏洞，應當立即採取行動，確保其 Oracle Identity Manager 系統已更新至最新的修補版本，以消除對核心身份管理基礎設施的迫切威脅。