CVE-2025-61882, una vulnerabilidad crítica de Oracle E-Business Suite (CVSS 9.8), está siendo explotada activamente para ejecución remota de código y robo de datos por la banda Clop. Oracle urge a aplicar el parche de emergencia tras detectar PoC públicos y ataques en curso.

Representación de alerta de seguridad y emergencia de parche para Oracle E-Business Suite.
Oracle ha lanzado una alerta de máxima criticidad tras descubrir la explotación activa de CVE-2025-61882, una vulnerabilidad zero-day en E-Business Suite. Esta vulnerabilidad permite ejecución de código sin autenticación, facilitando la entrada de ciberdelincuentes y el robo de datos confidenciales, como ha demostrado una reciente campaña de ataques atribuida al grupo de ransomware Clop.

La vulnerabilidad afecta al componente BI Publisher Integration de Oracle Concurrent Processing y permite RCE remoto sin autenticación. Está presente en versiones 12.2.3 a 12.2.14 de Oracle E-Business Suite. Explotarla es sencillo, debido a la ausencia de controles previos, y ya circulan exploits y PoC públicos (basados en Python) filtrados por grupos como Scattered Lapsus$ Hunters. El exploit permite tanto ejecutar comandos arbitrarios como establecer reverse shells hacia servidores controlados por el atacante.

El impacto es elevado: la facilidad de explotación y la existencia de PoCs públicos incrementan el riesgo de ataques masivos. Ya se han reportado incidentes de robo de datos y extorsión en compañías de todo el mundo, con amenazas de publicar información sensible si no se paga rescate. La situación podría escalar si otros actores adoptan el exploit en nuevos ataques.

Oracle ha publicado un parche de emergencia que debe aplicarse tras instalar la Critical Patch Update de octubre 2023. Es vital actualizar inmediatamente y revisar los indicadores de compromiso (IPs, comandos, archivos de exploit) difundidos por Oracle. Se recomienda auditar el acceso de red a estos sistemas y reforzar la monitorización proactiva de logs y alertas en entornos potencialmente afectados.

La explotación activa de CVE-2025-61882 resalta la importancia de una gestión ágil de parches y vigilancia continua. Actualizar sistemas, monitorizar IOC y fomentar la colaboración entre defensores es clave ante amenazas como Clop que buscan vulnerabilidades críticas en entornos empresariales.

Más información