Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda aktif istismar tespit ettikten sonra Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna kritik bir Oracle E-Business Suite güvenlik açığını ekledi.
CVE-2025-61884 olarak takip edilen güvenlik açığı, yaygın olarak kullanılan kurumsal kaynak planlama yazılımını çalıştıran kuruluşlar için önemli riskler oluşturuyor.
CVE-2025-61884, Oracle E-Business Suite içindeki Oracle Yapılandırıcının Çalışma Zamanı bileşenini etkileyen, sunucu tarafı istek sahteciliği güvenlik açığıdır.
Bu kusur, uzaktaki saldırganların herhangi bir kimlik doğrulama bilgisi gerektirmeden bu güvenlik açığından yararlanmasına olanak tanıyor ve bu da onu özellikle açık sistemler için tehlikeli hale getiriyor.
| CVE Kimliği | Etkilenen Ürün | Güvenlik Açığı Türü |
| CVE-2025-61884 | Oracle E-Business Suite (Oracle Yapılandırıcının Çalışma Zamanı bileşeni) | Sunucu Tarafı İstek Sahteciliği (SSRF) |
Sunucu tarafı istek sahteciliği saldırıları, tehdit aktörlerinin sunucuyu dahili veya harici kaynaklara yetkisiz isteklerde bulunacak şekilde manipüle etmesine olanak tanır, potansiyel olarak hassas verileri açığa çıkarır veya daha derin ağ nüfuzunu kolaylaştırır.
Güvenlik açığı, uygulamaların kullanıcı tarafından sağlanan URL’leri doğru şekilde doğrulayamadığı SSRF zayıflıklarını özel olarak tanımlayan bir CWE-918 sınıflandırması aldı.
Güvenlik araştırmacıları, bu kusurdan yararlanan saldırganların ağ erişim kontrollerini atlayabileceği, dahili hizmetlerle etkileşime girebileceği ve potansiyel olarak arka uç sistemlerden gizli bilgileri sızdırabileceği konusunda uyarıyor.
Kimlik doğrulaması olmadan uzaktan yararlanılabilirlik, bu güvenlik açığını özellikle kurumsal ağlara kolay giriş noktaları arayan siber suçlular için çekici kılmaktadır.
CISA, 20 Ekim 2025’te Bilinen Yararlanılan Güvenlik Açıkları kataloğuna CVE-2025-61884’ü ekleyerek aktif yararlanma girişimlerinin doğrulandığının sinyalini verdi.
Oracle E-Business Suite kurulumlarını işleten federal kurumların, Bağlayıcı Operasyonel Direktif 22-01’e göre 10 Kasım 2025’e kadar güvenlik yamalarını uygulaması veya satıcı tarafından önerilen hafifletici önlemleri uygulaması gerekiyor.
Belirlenen zaman dilimi içinde güvenlik açığını gideremeyen kuruluşlar, uygun korumalar uygulanana kadar etkilenen ürünü kullanmayı bırakmalıdır.
CISA, bu güvenlik açığının fidye yazılımı kampanyalarında silah olarak kullanılıp kullanılmadığını henüz doğrulamamış olsa da, bilinmeyen durum dikkatli olunması gerektiğini vurguluyor.
Kuruluşlar, bulut hizmetlerine yönelik geçerli BOD 22-01 kılavuzunu takip etmeli ve bu kritik kusura yönelik en son güvenlik güncellemelerini almak için Oracle ile koordinasyon sağlamalıdır.
Oracle E-Business Suite dağıtımlarını yöneten güvenlik ekipleri, kurulumlarını CVE-2025-61884’e maruz kalma açısından derhal incelemelidir.
Öncelikli eylemler arasında satıcı tarafından sağlanan yamaların uygulanması, olası SSRF istismarını sınırlamak için ağ bölümlendirmesinin uygulanması ve Oracle Yapılandırıcı bileşenlerinden gelen şüpheli giden isteklerin izlenmesi yer alır.
Kuruluşlar ayrıca, daha önceki suiistimal girişimlerini önerebilecek herhangi bir tehlike göstergesini belirlemek için kapsamlı güvenlik değerlendirmeleri yapmalıdır.
Bu güvenlik açığının CISA kataloğuna eklenmesi, kurumsal uygulamalar için mevcut yama seviyelerinin korunmasının ve ortaya çıkan tehditlere karşı koruma sağlamak için derinlemesine savunma stratejilerinin uygulanmasının kritik öneminin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.