【安全资讯】Oracle静默修复ShinyHunters泄露的零日漏洞

概要：

近日，Oracle公司悄然修复了一个被黑客组织ShinyHunters公开泄露的零日漏洞（CVE-2025-61884），该漏洞已被用于入侵Oracle E-Business Suite服务器。这一事件凸显了企业级软件面临的安全威胁，特别是当漏洞利用代码被公开后，可能引发大规模攻击浪潮。

主要内容：

该漏洞是一个无需身份验证的服务器端请求伪造（SSRF）漏洞，位于Oracle E-Business Suite的/configurator/UiServlet端点。攻击者可通过构造恶意请求访问敏感资源，最终实现远程代码执行。ShinyHunters勒索组织在Telegram频道公开了该漏洞的概念验证代码，加剧了安全风险。

Oracle在周末发布了带外安全更新，通过正则表达式严格验证攻击者提供的return_url参数，阻止CRLF注入攻击。值得注意的是，该漏洞最初被错误地列为另一个漏洞（CVE-2025-61882）的入侵指标，暴露出Oracle在漏洞披露和修复过程中的混乱。

安全公司watchTowr Labs分析确认，该漏洞利用链可在未打补丁的服务器上实现预认证远程代码执行。与此同时，Clop勒索组织也在利用另一个Oracle EBS漏洞（针对/OA_HTML/SyncServlet端点）进行数据窃取攻击，使得整个事件更加复杂。

安全专家强烈建议Oracle EBS客户立即安装所有最新更新。若无法及时更新，可通过配置mod_security规则临时阻断对/configurator/UiServlet端点的访问，以缓解攻击风险。