Résumé
Le 21 novembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Oracle Fusion Middleware, plus précisément dans Oracle Identity Manager, un composant utilisé pour gérer les identités et accès.
Référencée sous CVE-2025-61757, cette vulnérabilité est due à une absence d’authentification sur une fonction critique, ce qui permet à un attaquant distant non authentifié d’accéder et de prendre le contrôle total d’Oracle Identity Manager via un accès réseau HTTP, compromettant ainsi la sécurité complète du système.
Solutions
Il est vivement recommandé d’appliquer immédiatement les correctifs fournis par Oracle pour les versions 12.2.1.4.0 et 14.1.2.1.0 d’Oracle Identity Manager.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 9.8
EPSS : 71.16%
Risques : Exécution de code à distance
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Oracle Identity Manager versions 12.2.1.4.0
- Oracle Identity Manager versions 14.1.2.1.0
Documentation
- Bulletin de sécurité Oracle Fusion Middleware
https://www.oracle.com/security-alerts/
- Détails NIST CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-61757
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-61757/
- CWE :
https://www.cve.org/CVERecord?id=CVE-2025-61757