Oracle_E_Business 远程命令执行漏洞复现(CVE-2025-61882)
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
前言:
我们建立了一个更多,更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。
更多详情:
https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X0x01 产品描述:
Oracle E-Business Suite(简称EBS)是甲骨文公司推出的集成化企业应用套件,主要用于优化企业的客户关系管理、企业资源规划、供应链管理、人力资源管理等核心业务流程。
0x02 漏洞描述:
该漏洞源于Oracle E-Business Suite在处理用户请求时,多个组件存在安全缺陷:UiServlet未对用户提供的XML参数进行充分验证,导致SSRF漏洞;后续处理过程中缺乏对CRLF注入的有效防护,使攻击者可操纵HTTP请求;内部服务绑定配置不当及路径遍历防护不足,导致认证绕过;最终通过XSLT处理器加载恶意样式表时缺乏安全限制,实现远程代码执行。
0x03 影响版本:
Oracle E-Business Suite 12.2.3-12.2.14
0x04 搜索语句:
Fofa:tit