甲骨文公司週六發布安全警報，警告其電子商務套件存在新的安全漏洞，可能導致未經授權存取敏感資料。此漏洞編號為 CVE-2025-61884，CVSS 評分為 7.5，嚴重程度較高。漏洞影響 12.2.3 至 12.2.14 版本。

根據美國國家標準與技術研究院 (NIST) 國家漏洞數據庫 (NVD) 對該漏洞的描述，該漏洞易於利用，允許未經身份驗證的攻擊者通過 HTTP 存取網路，從而入侵 Oracle Configurator。Oracle 首席安全官 Rob Duhart指出，該漏洞影響電子商務套件的“部分部署”，並且可能被利用來存取敏感資源。

這項漏洞的關鍵風險在於其「易於利用性」和「遠端可利用性」。這意味著攻擊者無需複雜的駭客技巧，也無需事先取得任何用戶憑證，即可透過網路發動攻擊。成功利用此漏洞，攻擊者不僅能未經授權地存取關鍵數據，甚至可能完全存取 Oracle Configurator 所能接觸到的所有資料。Oracle Configurator 是電子商務套件中的一個重要組件，通常用於配置複雜的產品和服務，因此其內部可能包含高度敏感的商業和配置資訊。

Oracle 在單獨的安全警報中強調，這個漏洞可以在無需任何身份驗證的情況下被遠端利用，這使得用戶盡快應用更新變得至關重要。雖然甲骨文目前尚未提及此漏洞已被實際用於野外攻擊，但鑑於其嚴重的影響程度和易於利用的特性，組織應將修補列為最高優先級。

此安全發展緊隨 Google 威脅情報小組（GTIG）和 Mandiant 披露的另一項重大安全事件之後。此前，研究人員發現數十個組織可能受到 Oracle E-Business Suite 軟體中 CVE-2025-61882 零日漏洞的攻擊影響。這些攻擊被發現利用該漏洞觸發兩種不同的負載鏈，植入包括 GOLDVEIN.JAVA、SAGEGIFT、SAGELEAF 和 SAGEWAVE 等惡意軟體家族。儘管科技巨頭甲骨文沒有將這些活動歸因於特定的威脅行為者，但普遍認為攻擊是由與 Cl0p 勒索軟體組織有關聯的駭客團體所策劃。

新漏洞 CVE-2025-61884 的出現，再次對使用 Oracle E-Business Suite 的企業發出警訊。企業必須立即檢查其部署版本，並嚴格遵循甲骨文發布的安全指南進行修補，以防止未經授權的資料存取、保護關鍵業務數據並維護企業的完整性。

資料來源：https://thehackernews.com/2025/10/new-oracle-e-business-suite-bug-could.html