CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-61757

Pominięcie uwierzytelnienia w Oracle Identity Manager REST WebServices

CVSS 9.8v3.1pub. 2025-10-21upd. 2025-11-24

Krytyczna podatność w komponencie REST WebServices produktu Oracle Identity Manager umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad systemem. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i wymaga natychmiastowej reakcji.

Pokaż oryginał (EN)

Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: REST WebServices). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

🤖 Analiza AI
Jak działa

Podatność klasyfikowana jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznych) pozwala atakującemu na dostęp do interfejsów REST WebServices bez podania jakichkolwiek poświadczeń. Atakujący z dostępem sieciowym do systemu poprzez protokół HTTP może wysyłać żądania do chronionych endpointów REST bez wcześniejszego uwierzytelnienia. Niski poziom złożoności ataku (AC:L) oraz brak wymagań co do uprawnień (PR:N) i interakcji użytkownika (UI:N) sprawiają, że exploit jest trywialny do przeprowadzenia.

Skutki

Pomyślne wykorzystanie podatności prowadzi do pełnego przejęcia systemu Oracle Identity Manager, obejmującego naruszenie poufności, integralności oraz dostępności danych i usług. Atakujący może uzyskać nieautoryzowany dostęp do zarządzanych tożsamości i uprawnień użytkowników w całej organizacji.

Mitygacja

Należy niezwłocznie zastosować patche dostarczone przez Oracle w ramach Critical Patch Update z października 2025 r., dostępne pod adresem https://www.oracle.com/security-alerts/cpuoct2025.html. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu sieciowego do komponentu REST WebServices Oracle Identity Manager wyłącznie do zaufanych hostów za pomocą firewall lub reguł ACL.

Kogo dotyczy

Oracle Identity Manager (składnik Oracle Fusion Middleware) w wersjach 12.2.1.4.0 oraz 14.1.2.1.0

Uwagi

Podatność została umieszczona w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystanie w środowiskach produkcyjnych. Opublikowana 21 października 2025 r. w ramach Oracle Critical Patch Update.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oracle Identity Manager

    APP
    Oracle
    12.2.1.4.014.1.2.1.0

CISA KEV — szczegółyi

Dostawcai
Oracle
Produkti
Fusion Middleware
Data dodania do KEVi
21 listopada 2025
Termin remediation (USA)i
12 grudnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub przesta­nów używać produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Oracle Fusion Middleware zawiera lukę polegającą na braku autentykacji dla funkcji krytycznej, umożliwiającą nieuwierzytelnionym atakującym zdalnie przejęcie kontroli nad Identity Manager.

tłumaczenie AI
Pokaż oryginał (EN)

Oracle Fusion Middleware contains a missing authentication for critical function vulnerability, allowing unauthenticated remote attackers to take over Identity Manager.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 12 grudnia 2025
Tagi
Auth BypassDoS
CWE
Referencje

Powiązane podatności

CVE-2026-46807CRITICAL9.8ten sam produkt

Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: OIM Legacy UI). Support...

CVE-2026-35268CRITICAL9.9ten sam produkt

Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: Core). Supported versio...

CVE-2026-21992CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Oracle Identity Manager i Web Services Manager

CVE-2019-2729CRITICAL9.8ten sam produkt

Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services)...

CVE-2017-15095CRITICAL9.8ten sam produkt

A deserialization flaw was discovered in the jackson-databind in versions before 2.8.10 and 2.9.1, which could...