Impatto Sistemico

Medio (61.92)

Sintesi

Oracle ha recentemente segnalato una nuova vulnerabilità che interessa il componente Configurator della piattaforma Oracle E-Business Suite, modulo progettato per assistere le aziende nella configurazione di prodotti o servizi complessi.

Qualora sfruttata, tale vulnerabilità potrebbe consentire a un attaccante remoto non autenticato di accedere in modo non autorizzato a dati sensibili e/o compromettere parzialmente i sistemi target.

Tipologia

• Security Restrictions Bypass
• Information Disclosure
• Data Manipulation

Descrizione e potenziali impatti

A seguito di quanto recentemente trattato da questo CSIRT nell’ambito della AL01/251005/CSIRT-ITA , Oracle ha recentemente segnalato una nuova vulnerabilità che interessa la piattaforma Oracle E-Business Suite.

Tale vulnerabilità – identificata tramite la CVE-2025-61884, di tipo “Unauthorized Access” e con score CVSS v3.x pari a 7.5 – interessa l’interfaccia Runtime [1] del modulo Configurator della suite.

Un attaccante remoto non autenticato, tramite richieste opportunamente predisposte verso l’interfaccia Runtime del modulo Configurator, potrebbe ottenere l’accesso a dati sensibili, effettuare la modifica di informazioni o, in casi particolari, portare alla compromissione parziale del funzionamento del modulo.

Prodotti e versioni affette

Oracle E-Business Suite – componente Configurator:

• 12.2.x, dalla versione 12.2.3 alla 12.2.14

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare tempestivamente gli aggiornamenti disponibili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

[1] L’interfaccia Runtime è la parte del sistema che gestisce l’esecuzione delle configurazioni in tempo reale: riceve le richieste dagli utenti o dai sistemi, applica le regole di configurazione definite dall’azienda e restituisce il risultato (la configurazione valida del prodotto o servizio).