La vulnerabilidad afecta al componente BI Publisher Integration de Oracle Concurrent Processing y permite RCE remoto sin autenticación. Está presente en versiones 12.2.3 a 12.2.14 de Oracle E-Business Suite. Explotarla es sencillo, debido a la ausencia de controles previos, y ya circulan exploits y PoC públicos (basados en Python) filtrados por grupos como Scattered Lapsus$ Hunters. El exploit permite tanto ejecutar comandos arbitrarios como establecer reverse shells hacia servidores controlados por el atacante.
El impacto es elevado: la facilidad de explotación y la existencia de PoCs públicos incrementan el riesgo de ataques masivos. Ya se han reportado incidentes de robo de datos y extorsión en compañías de todo el mundo, con amenazas de publicar información sensible si no se paga rescate. La situación podría escalar si otros actores adoptan el exploit en nuevos ataques.
Oracle ha publicado un parche de emergencia que debe aplicarse tras instalar la Critical Patch Update de octubre 2023. Es vital actualizar inmediatamente y revisar los indicadores de compromiso (IPs, comandos, archivos de exploit) difundidos por Oracle. Se recomienda auditar el acceso de red a estos sistemas y reforzar la monitorización proactiva de logs y alertas en entornos potencialmente afectados.
Más información
- Oracle patches EBS zero-day exploited in Clop data theft attacks: https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
- CVE-2025-61882 (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-61882
