Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Sicherheitslücke: Weiterer Notfall-Patch für Oracle E-Business Suite

Angreifer können aus der Ferne und ohne Interaktion mit Nutzern auf vertrauliche Daten zugreifen. Oracle verteilt bereits ein Update.
/ Stefan Beiersmann
Kommentare News folgen (öffnet im neuen Fenster)
Oracle schließt eine schwerwiegendes Sicherheitslücke in der E-Business Suite. (Bild: pixabay.com / Tumisu)
Oracle schließt eine schwerwiegendes Sicherheitslücke in der E-Business Suite. Bild: pixabay.com / Tumisu

Oracle hat ein weiteres außerplanmäßiges Update für die E-Business Suite veröffentlicht. Einer Sicherheitswarnung zufolge lässt sich eine Sicherheitslücke mit der Kennung CVE-2025-61884(öffnet im neuen Fenster) aus der Ferne und ohne Authentifizierung ausnutzen. Angreifer erhalten unter Umständen Zugriff auf vertrauliche Ressourcen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Consultant Informationssicherheit (M/W/D) Bluvit GmbH, Lohfelden (öffnet im neuen Fenster)
Sachbearbeiter/-in IT-Support (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)
Windows IT Administrator and Support Specialist (M/W/D) Baerlocher GmbH, Unterschleißheim (öffnet im neuen Fenster)
Dual Studierenden (m/w/d) - Dienstleistungsmanagement (Bachelor of Arts) in der Energiewirtschaft Stadtwerke Erfurt Gruppe, Gera (öffnet im neuen Fenster)
Java Developer (m/w/d) - Konstanz oder remote SEITENBAU GmbH, Konstanz (öffnet im neuen Fenster)
Senior Experte & Architekt-IT-Infrastruktur (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)
Leiter User Helpdesk (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)
Identity-Management Experte (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)

Betroffen ist die E-Business Suite in den Versionen 12.2.3 bis 12.2.14. Oracle geht davon aus, dass die Schwachstelle "leicht" ausgenutzt werden kann. Bisher sei aber noch kein Exploit bekannt, hieß es. Eine Ausnutzung sei auch über ein Netzwerk per http oder https möglich, jeweils ohne Eingabe eines Benutzernamens oder eines Passworts.

Der eigentliche Fehler steckt demnach in der Komponente Runtime UI und erlaubt es, den Oracle Configurator zu kompromittieren. Dieser dient der Entwicklung von Konfigurationsmodellen und Konfiguratoren. Letztere sollen angepasste Konfigurationsfunktionen für Nutzer bereitstellen.

Keine Interaktion mit Nutzern erforderlich

Von der Sicherheitslücke geht ein hohes Risko aus. Im zehnstufigen Common Vulnerability Scoring System (CVSS) wird die Anfälligkeit mit 7,5 Punkten bewertet. Unter anderem fließt in die Bewertung ein, dass ein Angriff ohne Interaktion mit Nutzern ausgeführt werden kann. Ein Update steht seit dem 11. Oktober zur Verfügung.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Bereits Anfang des Monats schloss Oracle mit einem Notfall-Patch eine kritische Lücke in der E-Business Suite. Der stellvertretende FBI-Direktor Brett Leatherman bezeichnete den Bug als "eine Schwachstelle, bei der man sofort alles stehen- und liegenlassen und einen Patch installieren muss" .

Laut Google-Tochter Mandiant kommt die fragliche Lücke in einer aktuellen Kampagne der Ransomware-Gruppe Clop zum Einsatz. Hinweise auf eine Ausnutzung der neuen Sicherheitslücke in der E-Business Suite liegen Oracle zufolge bisher nicht vor.

Zur Startseite Kommentare

Relevante Themen

SoftwareSecuritySicherheitslückeUnternehmenOracle