Résumé
Le 20 octobre 2025 (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Oracle E-Business Suite, un ensemble complet d’applications métier permettant de gérer et d’automatiser la gestion de la relation client, la planification des ressources d’entreprise, la gestion des commandes et les processus de module financier au sein d’une organisation.
Référencée sous CVE-2025-61884, Cette vulnérabilité permet à un attaquant distant peut envoyer des requêtes malveillantes au serveur sans avoir besoin de s’identifier, et ainsi accéder à des ressources sensibles ou données importantes du système, mettant en danger la confidentialité des informations
Solutions
Oracle recommande d’appliquer immédiatement les correctifs de sécurité fournis pour les versions concernées (12.2.3 à 12.2.14)
La faille est activement exploitée : Oui.
Détails techniques
Score CVSS : 7.5
EPSS : 0.06%
Risques : Exploitation à distance sans authentification possible via HTTP.
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Oracle E-Business Suite versions 12.1 (potentiellement), 12.2.3 à 12.2.14.
Documentation
- Bulletin de sécurité d’oracle
https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
- Nist Details CVE
- CVE Details
- Reference CVE
- CWE
https://www.cvedetails.com/cwe-details/287/Improper-Authentication.html
https://www.cvedetails.com/cwe-details/501/Trust-Boundary-Violation.html
https://www.cvedetails.com/cwe-details/918/Server-Side-Request-Forgery-SSRF-.html