De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag vijf beveiligingsfouten toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waarmee officieel wordt bevestigd dat een onlangs bekendgemaakte kwetsbaarheid die van invloed is op Oracle E-Business Suite (EBS) is gebruikt bij aanvallen in de echte wereld.
Het beveiligingsfout in kwestie is CVE-2025-61884 (CVSS-score: 7,5), dat is beschreven als een SSRF-kwetsbaarheid (server-side request forgery) in de Runtime-component van Oracle Configurator, waardoor aanvallers ongeoorloofde toegang tot kritieke gegevens kunnen krijgen.
“Deze kwetsbaarheid kan op afstand worden misbruikt zonder authenticatie”, aldus CISA.
CVE-2025-61884 is de tweede fout in Oracle EBS die actief wordt uitgebuit, samen met CVE-2025-61882 (CVSS-score: 9,8), een kritieke bug die niet-geverifieerde aanvallers in staat zou kunnen stellen willekeurige code uit te voeren op gevoelige instanties.
Eerder deze maand onthulden Google Threat Intelligence Group (GTIG) en Mandiant dat tientallen organisaties mogelijk getroffen zijn door de exploitatie van CVE-2025-61882.
“Op dit moment zijn we niet in staat om enige specifieke uitbuitingsactiviteit aan een specifieke actor toe te schrijven, maar het is waarschijnlijk dat tenminste een deel van de uitbuitingsactiviteit die we hebben waargenomen, werd uitgevoerd door actoren die nu afpersingsoperaties onder het merk Cl0p uitvoeren”, vertelde Zander Work, senior beveiligingsingenieur bij GTIG, vorige week aan The Hacker News.
Ook door CISA aan de KEV-catalogus toegevoegd zijn vier andere kwetsbaarheden:
- CVE-2025-33073 (CVSS-score: 8,8) – Een kwetsbaarheid voor onjuiste toegangscontrole in Microsoft Windows SMB Client die escalatie van bevoegdheden mogelijk zou kunnen maken (opgelost door Microsoft in juni 2025)
- CVE-2025-2746 (CVSS-score: 9,8) – Een authenticatieomzeiling met behulp van een alternatief pad of kanaalkwetsbaarheid in Kentico Xperience CMS waarmee een aanvaller administratieve objecten kan controleren door gebruik te maken van de Staging Sync Server-wachtwoordverwerking van lege SHA1-gebruikersnamen in digest-authenticatie (opgelost in Kentico in maart 2025)
- CVE-2025-2747 (CVSS-score: 9,8) – Een authenticatieomzeiling met behulp van een alternatief pad of kanaalkwetsbaarheid in Kentico Xperience CMS waarmee een aanvaller administratieve objecten kan controleren door gebruik te maken van de Staging Sync Server-wachtwoordafhandeling voor het door de server gedefinieerde Geen-type (opgelost in Kentico in maart 2025)
- CVE-2022-48503 (CVSS-score: 8,8) – Een onjuiste validatie van de kwetsbaarheid van de array-index in de JavaScriptCore-component van Apple, die zou kunnen resulteren in het uitvoeren van willekeurige code bij het verwerken van webinhoud (opgelost door Apple in juli 2022)
Er zijn momenteel geen details over hoe de bovengenoemde vier problemen in het wild worden uitgebuit, hoewel details over CVE-2025-33073, CVE-2025-2746 en CVE-2025-2747 werden gedeeld door onderzoekers van respectievelijk Synacktiv en watchTowr Labs.
De agentschappen van de Federal Civilian Executive Branch (FCEB) zijn verplicht om geïdentificeerde kwetsbaarheden vóór 10 november 2025 te verhelpen, om hun netwerken te beveiligen tegen actieve bedreigingen.
