一、 漏洞 CVE-2025-61757 基础信息
漏洞信息
# N/A
## 概述
Oracle Fusion Middleware 的 Identity Manager 产品中存在一个漏洞,位于其 REST WebServices 组件。该漏洞可被远程攻击者利用,导致 Identity Manager 被完全接管。
## 影响版本
受影响的版本包括:
- 12.2.1.4.0
- 14.1.2.1.0
## 漏洞细节
该漏洞允许未经身份验证的攻击者通过 HTTP 网络访问对 Identity Manager 进行攻击,漏洞利用难度较低。
## 影响
成功利用此漏洞可导致 Identity Manager 被完全控制,对系统的机密性、完整性和可用性造成严重影响。
- **CVSS 3.1 基准评分**:9.8(高危)
- **CVSS 向量**:`(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)`
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞影响Oracle Fusion Middleware的Identity Manager组件中的REST WebServices,允许未经身份验证的攻击者通过HTTP利用此漏洞以完全控制Identity Manager。该漏洞被评为高危,CVSS 3.1基础评分为9.8,影响机密性、完整性和可用性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: REST WebServices). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Oracle Fusion Middleware 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Identity Manager是其中的一个企业身份管理系统组件。 Oracle Fusion Middleware的Identity Manager 12.2.1.4.0版本和14.1.2.1.0版本存在安全漏洞,该漏洞源于未经验证的攻击者可通过HTTP网络访问进行攻击,可能导致Identity Manager被接管。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-61757 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: REST WebServices). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-61757.yaml | POC详情 |
| 2 | CVE-2025-61757 | https://github.com/B1ack4sh/Blackash-CVE-2025-61757 | POC详情 |
| 3 | Oracle Identity Manager 远程代码执行漏洞CVE-2025-61757 | https://github.com/Jinxia62/Oracle-Identity-Manager-CVE-2025-61757 | POC详情 |
| 4 | CVE-2025-61757 | https://github.com/Ashwesker/Blackash-CVE-2025-61757 | POC详情 |
| 5 | CVE-2025-61757 | https://github.com/Ashwesker/Ashwesker-CVE-2025-61757 | POC详情 |
三、漏洞 CVE-2025-61757 的情报信息
标题: Oracle Critical Patch Update Advisory - October 2025 -- 🔗来源链接
标签:vendor-advisory
神龙速读:该链接的内容为空,无法处理。
- https://nvd.nist.gov/vuln/detail/CVE-2025-61757
四、漏洞 CVE-2025-61757 的评论
暂无评论