Oracle, E-Business Suite’in Pazarlama ürününde, tam kontrolü uzaktaki saldırganlara bırakabilecek iki kritik güvenlik açığını açıkladı.
CVE-2025-53072 ve CVE-2025-62481 olarak adlandırılan bu kusurlar, Pazarlama Yönetimi bileşenini etkiliyor ve 9,8 mükemmel fırtına CVSS puanına sahip; bu da onları bu yıl açıklanan en ciddi tehditler arasında gösteriyor.
Müşteri ilişkileri yönetimi ve pazarlama otomasyonu için Oracle’ın paketine güvenen kuruluşlar, artık potansiyel veri ihlallerini ve sistem devralmalarını önlemek için acil yama uygulama ihtiyaçlarıyla karşı karşıyadır.
Güvenlik açıkları, Pazarlama Yönetiminin HTTP isteklerini işleme biçimindeki zayıflıklardan kaynaklanmaktadır. Kimliği doğrulanmamış bir saldırganın bunlardan yararlanabilmesi için yalnızca ağ erişimine ihtiyacı vardır, özel ayrıcalıklara veya kullanıcı etkileşimine gerek yoktur.
Kusurlar tetiklendiğinde Oracle Pazarlama modülünün tamamen ele geçirilmesine olanak tanıyarak saldırganlara gizlilik, bütünlük ve kullanılabilirliğe üst düzeyde erişim olanağı tanır.
Bu, hassas müşteri verilerinin çalınması, pazarlama kampanyalarının değiştirilmesi veya operasyonların tamamen kesintiye uğraması anlamına gelebilir.
Fidye yazılımı gruplarının ve ulus devlet aktörlerinin kolay giriş noktaları aradığı günümüzün tehdit ortamında, Oracle E-Business Suite gibi yaygın olarak kullanılan ERP sistemlerindeki bu tür riskler, tehlikeyi daha da artırıyor.
Kusurların Detayları
Her iki CVE de Oracle Marketing’in 12.2.3’ten 12.2.14’e kadar olan sürümlerini hedefler ve en son güvenlik yamalarını uygulamanın ötesinde herhangi bir hafifletme uygulanmaz.
Oracle’ın tavsiyeleri, sorunların ilk değerlendirmelere göre değişmeden kaldığını vurgulayarak, bunların doğrudan istismar edilebilirliğini vurguluyor.
Her biri için CVSS 3.1 vektörü (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), ağ saldırı vektörü, düşük saldırı karmaşıklığı, ayrıcalık gerektirmemesi, kullanıcı etkileşimi olmaması, kapsamın değişmemesi ve tüm kategorilerde yüksek etkiler şeklinde ayrılır.
| CVE Kimliği | Bileşen | Saldırı Vektörü | Yetkilendirme gerektiriyor mu? | CVSS 3.1 Puanı | Saldırı Karmaşıklığı | Gerekli Ayrıcalıklar | Kullanıcı Etkileşimi | Kapsam | Gizlilik Etkisi | Dürüstlük Etkisi | Kullanılabilirlik Etkisi | Etkilenen Sürümler |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-53072 | Pazarlama Yönetimi | HTTP (Ağ) | HAYIR | 9.8 | Düşük | Hiçbiri | Hiçbiri | değişmedi | Yüksek | Yüksek | Yüksek | 12.2.3-12.2.14 |
| CVE-2025-62481 | Pazarlama Yönetimi | HTTP (Ağ) | HAYIR | 9.8 | Düşük | Hiçbiri | Hiçbiri | değişmedi | Yüksek | Yüksek | Yüksek | 12.2.3-12.2.14 |
Bu girişler bir modeli ortaya koyuyor: aynı puanlama ve vektörler, muhtemelen giriş doğrulama veya oturum işlemede ilgili kodlama hatalarını gösteriyor, ancak Oracle, saldırganlara yardım etmekten kaçınmak için ayrıntılar yayınlamadı.
Azaltmalar
Açıklama, kurumsal araçları hedef alan tedarik zinciri saldırılarındaki artışın ortasında geldi ve Cisco ve Microsoft gibi şirketlerdeki son ihlalleri hatırlattı.
Oracle E-Business Suite’in temel pazarlama işlevlerini desteklediği perakende, finans veya e-ticaret sektörlerindeki işletmeler için bu güvenlik açıkları, terabaytlarca müşteri profilini hırsızlığa veya manipülasyona maruz bırakabilir ve bu da GDPR veya CCPA kapsamında düzenleyici para cezalarına yol açabilir.
Oracle, My Oracle Support’ta bulunan Ekim 2025 Kritik Yama Güncellemesi aracılığıyla derhal yama uygulanmasını öneriyor.
Bu arada uzmanlar ağ bölümlendirmesini, HTTP anormalliklerine göre ayarlanmış web uygulaması güvenlik duvarlarını ve olağandışı Pazarlama Yönetimi trafiğinin izlenmesini öneriyor.
Mandiant gibi siber güvenlik firmaları, yüksek teşvik göz önüne alındığında, istismar kodlarının yakında karanlık web forumlarında ortaya çıkabileceği konusunda uyarıyor.
İşletmeler mücadele ederken bu olay, eski sistemlerde proaktif güvenlik açığı yönetimi ihtiyacını vurguluyor. Henüz aktif istismara dair bir kanıt olmadığından savunma penceresi açık kalıyor ancak hızla daralıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
