Oracle公布的EBS漏洞CVE-2025-61884，CISA证实已被用于攻击行动

10月上旬Oracle修补E-Business Suite（EBS）服务器请求伪造（SSRF）漏洞CVE-2025-61884，并指出新漏洞相当容易利用，由于不久前才披露零时差漏洞CVE-2025-61882，不禁让人联想到CVE-2025-61884可能已被用于实际攻击，现在这样的推测，终于得到证实。

20日美国网络安全暨基础设施安全局（CISA）发布公告，将5个安全漏洞列入已遭到利用的漏洞列表（KEV），其中一个就是CVE-2025-61884，CISA要求联邦机构必须在11月10日前完成修补。

CVE-2025-61884出现在EBS的Runtime UI，CVSS风险评分为7.5。特别的是，虽然CISA在上述公告及KEV提及此为服务器请求伪造形态的漏洞，但他们在美国国家漏洞数据库（NVD）其中，却标记这项漏洞涵盖多种层面的弱点，例如：路径穿越、利用断行与换行符号的注入（CRLF Injection）、身份验证机制不周延，以及HTTP请求劫持等。

这次CISA列入KEV的安全漏洞，还包括：Windows操作系统SMB用户端访问控制不当漏洞CVE-2025-33073、Kentico Xperience Staging Sync Server安全漏洞CVE-2025-2746与CVE-2025-2747，以及苹果设备安全漏洞CVE-2022-48503。