NCSC-2025-0303 [1.02] [H/H] Kwetsbaarheid verholpen in Oracle E-Business Suite

Oracle heeft een zeroday-kwetsbaarheid verholpen in Oracle E-Business Suite (specifiek voor de Concurrent Processing component in versies 12.2.3 tot 12.2.14). De kwetsbaarheid bevindt zich in de Concurrent Processing component van Oracle E-Business Suite (EBS). Ongeauthenticeerde kwaadwillenden kunnen deze kwetsbaarheid misbruiken door malafide HTTP-verzoeken naar het kwetsbare systeem te versturen. Dit kan leiden tot ernstige risico’s voor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem. De kwetsbaarheid heeft een CVSS-score van 9.8.

Volgens berichtgeving van Oracle wordt de kwetsbaarheid actief misbruikt. Oracle heeft IOC’s beschikbaar gesteld. Beveiligingsbedrijf Crowdstrike heeft aanvullende IOC’s gedeeld.

Het NCSC is bekend met exploitcode die in omloop is en waarmee de kwetsbaarheid kan worden misbruikt.

Beveiligingsbedrijf Defuse meldt op X grootschaliger misbruik van de kwetsbaarheid waar te nemen. Het NCSC adviseert om de in dit beveiligingsadvies beschreven maatregelen zo spoedig mogelijk in te zetten en Oracle EBS-systemen op aanwezigheid van de beschikbare IOC’s te controleren.