Flaw baru memungkinkan akses data sensitif tanpa autentikasi
Oktober 2025 — Oracle telah merilis pembaruan keamanan darurat untuk menambal kerentanan baru pada E-Business Suite (EBS) yang memungkinkan akses data sensitif tanpa autentikasi.
Kerentanan yang dilacak sebagai CVE-2025-61884 ini ditemukan pada komponen Runtime UI dan memengaruhi EBS versi 12.2.3 hingga 12.2.14.
“Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa autentikasi, artinya dapat dilakukan melalui jaringan tanpa memerlukan nama pengguna atau kata sandi,” ujar Oracle dalam pernyataannya.
“Oracle sangat menyarankan pelanggan segera menerapkan pembaruan atau mitigasi yang disediakan dalam Security Alert ini.”
CVE-2025-61884 memiliki skor CVSS dasar 7.5 (tinggi), dan bila berhasil dieksploitasi dapat memberikan akses ke sumber daya sensitif, jelas Rob Duhart, Chief Security Officer Oracle.
Terkait Serangan Clop dan Eksploitasi Zero-Day Sebelumnya
Patch ini dirilis hanya dua minggu setelah kampanye pemerasan Clop yang menargetkan eksekutif di berbagai perusahaan. Serangan tersebut kemudian dikaitkan dengan beberapa kerentanan EBS sebelumnya, termasuk CVE-2025-61882, yang diperbaiki pada Juli 2025.
Firma keamanan CrowdStrike melaporkan bahwa Clop telah mengeksploitasi CVE-2025-61882 sebagai zero-day sejak awal Agustus, digunakan untuk pencurian data massal, dan kemungkinan kini dimanfaatkan pula oleh kelompok ancaman lain.
Sementara itu, watchTowr Labs menemukan bahwa CVE-2025-61882 merupakan rantai kerentanan kompleks yang memungkinkan eksekusi kode jarak jauh (RCE) tanpa autentikasi. Bukti eksploitasi PoC dengan timestamp Mei 2025 bahkan sempat bocor secara publik oleh kelompok Scattered Lapsus$ Hunters.
Patch Wajib Diterapkan Segera
Meski Oracle belum mengonfirmasi apakah CVE-2025-61884 telah dieksploitasi di alam liar atau terkait langsung dengan serangan Clop, perusahaan menegaskan bahwa semua sistem EBS yang terhubung ke internet kini menjadi target aktif.
Oleh karena itu, administrator disarankan segera menginstal patch out-of-band CVE-2025-61884 untuk mencegah potensi kebocoran data dan penyalahgunaan sistem bisnis penting.
Sumber: Oracle, CrowdStrike, watchTowr Labs, BleepingComputer