Krytyczna podatność w komponencie REST WebServices produktu Oracle Identity Manager umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad systemem. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i wymaga natychmiastowej reakcji.
▸ Pokaż oryginał (EN)
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: REST WebServices). Supported versions that are affected are 12.2.1.4.0 and 14.1.2.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Identity Manager. Successful attacks of this vulnerability can result in takeover of Identity Manager. CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Podatność klasyfikowana jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznych) pozwala atakującemu na dostęp do interfejsów REST WebServices bez podania jakichkolwiek poświadczeń. Atakujący z dostępem sieciowym do systemu poprzez protokół HTTP może wysyłać żądania do chronionych endpointów REST bez wcześniejszego uwierzytelnienia. Niski poziom złożoności ataku (AC:L) oraz brak wymagań co do uprawnień (PR:N) i interakcji użytkownika (UI:N) sprawiają, że exploit jest trywialny do przeprowadzenia.
Pomyślne wykorzystanie podatności prowadzi do pełnego przejęcia systemu Oracle Identity Manager, obejmującego naruszenie poufności, integralności oraz dostępności danych i usług. Atakujący może uzyskać nieautoryzowany dostęp do zarządzanych tożsamości i uprawnień użytkowników w całej organizacji.
Należy niezwłocznie zastosować patche dostarczone przez Oracle w ramach Critical Patch Update z października 2025 r., dostępne pod adresem https://www.oracle.com/security-alerts/cpuoct2025.html. Do czasu wdrożenia łatki zaleca się ograniczenie dostępu sieciowego do komponentu REST WebServices Oracle Identity Manager wyłącznie do zaufanych hostów za pomocą firewall lub reguł ACL.
Oracle Identity Manager (składnik Oracle Fusion Middleware) w wersjach 12.2.1.4.0 oraz 14.1.2.1.0
Podatność została umieszczona w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystanie w środowiskach produkcyjnych. Opublikowana 21 października 2025 r. w ramach Oracle Critical Patch Update.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOracle Identity Manager
APPOracle12.2.1.4.014.1.2.1.0
CISA KEV — szczegółyi
- Dostawcai
- Oracle ↗
- Produkti
- Fusion Middleware
- Data dodania do KEVi
- 21 listopada 2025
- Termin remediation (USA)i
- 12 grudnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub przestanów używać produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Oracle Fusion Middleware zawiera lukę polegającą na braku autentykacji dla funkcji krytycznej, umożliwiającą nieuwierzytelnionym atakującym zdalnie przejęcie kontroli nad Identity Manager.
▸ Pokaż oryginał (EN)
Oracle Fusion Middleware contains a missing authentication for critical function vulnerability, allowing unauthenticated remote attackers to take over Identity Manager.
Powiązane podatności
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: OIM Legacy UI). Support...
Vulnerability in the Identity Manager product of Oracle Fusion Middleware (component: Core). Supported versio...
Pominięcie uwierzytelnienia w Oracle Identity Manager i Web Services Manager
Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware (subcomponent: Web Services)...
A deserialization flaw was discovered in the jackson-databind in versions before 2.8.10 and 2.9.1, which could...