La empresa Oracle Corporation es uno de los proveedores de sistemas ERP (Enterprise Resource Planning) más importantes del mundo, y su suite E‑Business Suite (EBS) es utilizada por numerosas organizaciones para la gestión de finanzas, cadena de suministro, recursos humanos y otros procesos críticos empresariales. El módulo Oracle Configurator, parte de EBS, permite configurar productos y servicios adaptados al cliente mediante una interfaz UI.
En el presente boletín se aborda la vulnerabilidad identificada como CVE‑2025‑61884, la cual afecta dicho módulo de Oracle EBS.
- CVE‑2025‑61884 (CVSS 7.5): Se trata de una vulnerabilidad en el componente Runtime UI del módulo Oracle Configurator. El fallo permite que un atacante remoto, sin necesidad de autenticación, que tenga acceso de red al servicio HTTP, comprometa el módulo Oracle Configurator e inicie solicitudes que permitan acceder a datos sensibles o incluso todos los datos accesibles por ese módulo.
Productos y Versiones afectadas
| CVE | Productos y versiones afectados |
| CVE‑2025‑61884 | Oracle E‑Business Suite: versiones 12.2.3 hasta 12.2.14 del módulo Oracle Configurator (Runtime UI) |
Solución
- Oracle ha publicado parches de seguridad específicos en su Alerta Crítica de Seguridad de Octubre 2025. Los administradores deben aplicar de inmediato el parche correspondiente a la versión instalada de Oracle E-Business Suite (12.2.3 a 12.2.14).
Recomendaciones
- Actualizar inmediatamente los sistemas que usen Oracle E‑Business Suite en las versiones afectadas para incluir el parche suministrado por Oracle.
- Verificar que los moduloss de Oracle Configurator u otros componentes de EBS expuestos por HTTP no estén disponibles públicamente sin autenticación.
- Limitar el acceso de red (por ejemplo segmentación de red, firewalls, listas de acceso) a los servidores que alojan Oracle EBS, de modo que sólo personal autorizado pueda acceder al servicio HTTP.
Referencias