Oracle E-Business Suite（2025 年 10 月 CPU）

critical Nessus 插件 ID 271365

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle E-Business Suite 版本受到 2025 年 10 月 CPU 公告中提及的多个漏洞影响。

- Oracle E-Business Suite 的 Oracle Marketing 产品中存在漏洞（组件：Marketing Administration）。支持的版本中受影响的是 12.2.3-12.2.14。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Marketing。成功利用此漏洞进行攻击可导致接管 Oracle Marketing。（CVE-2025-53072、CVE-2025-62481）

- Oracle E-Business Suite 的 Oracle Product Hub 产品中的漏洞（组件：Item Catalog）。
支持的版本中受影响的是 12.2.3-12.2.14。具有网络访问权限的低权限攻击者可借此易于利用的漏洞通过 HTTP 入侵 Oracle Product Hub。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Product Hub 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Product Hub 可访问数据。(CVE-2025-53043)

- Oracle E-Business Suite 的 Oracle Scripting 产品中存在漏洞（组件：Miscellaneous）。
支持的版本中受影响的是 12.2.3-12.2.14。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Scripting。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Scripting 中，但攻击可能对其他产品造成重大影响（范围更改）。若攻击成功，攻击者可在未经授权的情况下更新、插入或删除部分 Oracle Scripting 可访问数据，并且可在未经授权的情况下读取部分 Oracle Scripting 可访问数据。
(CVE-2025-61753)

- Oracle E-Business Suite 的 Oracle Applications Manager 产品中的漏洞（组件：
Application Logging Interfaces）。支持的版本中受影响的是 12.2.3-12.2.14。具有网络访问权限的未经身份验证的攻击者可借此易于利用的漏洞通过 HTTP 入侵 Oracle Applications Manager。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Applications Manager 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除对某些 Oracle Applications Manager 可访问数据的访问权限，以及在未经授权的情况下读取访问 Oracle Applications Manager 可访问数据的子集。(CVE-2025-53058)

- Oracle E-Business Suite 的 Oracle Workflow 产品中的漏洞（组件：Workflow Notification Mailer）。支持的版本中受影响的是 12.2.3-12.2.14。攻击此漏洞的难度较低，具有网络访问权限的未经身份验证的攻击者可借此通过 HTTP 入侵 Oracle Workflow。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Workflow 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle Workflow 可访问数据的访问权限，以及对 Oracle Workflow 可访问数据子集进行未经授权的读取访问。
(CVE-2025-53052)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。