Oracle ha publicado dos vulnerabilidades críticas que afectan a la administración del componente Marketing de su E-Business Suite, permitiendo a atacantes remotos sin autenticación tomar control total. Los fallos, identificados como CVE-2025-53072 y CVE-2025-62481, presentan un puntaje CVSS 9.8 debido a su impacto elevado en confidencialidad, integridad y disponibilidad, explotándose mediante solicitudes HTTP sin interacción del usuario.
CVE y severidad
|
CVE ID |
Componente |
Vector de ataque |
CVSS 3.1 |
Impacto en C/I/A |
Versiones afectadas |
|
Marketing Administration |
HTTP (Red) |
9.8 |
Alta/Alta/Alta |
12.2.3 – 12.2.14 |
|
|
Marketing Administration |
HTTP (Red) |
9.8 |
Alta/Alta/Alta |
12.2.3 – 12.2.14 |
Productos afectados
Oracle E-Business Suite, componente Marketing Administration, versiones 12.2.3 hasta 12.2.14.
Solución
Aplicar el Critical Patch Update de Oracle para octubre de 2025 disponible en My Oracle Support.
Recomendaciones
Priorizar la aplicación inmediata del parche indicado y, mientras tanto, implementar segmentación de red, configurar firewalls de aplicaciones web para detectar anomalías en tráfico HTTP y monitorizar actividad inusual en Marketing Administration para reducir riesgos.