CISA дополнило перечень критичных уязвимостей продуктов Oracle и Microsoft

CISA дополнило перечень критичных уязвимостей продуктов Oracle и Microsoft

Управление кибербезопасности США (CISA) обновило реестр активно эксплуатируемых уязвимостей, включив в него пять новых критических брешей в системах безопасности. Особое внимание привлекло подтверждение использования злоумышленниками уязвимости в популярном корпоративном решении Oracle E-Business Suite.

Серьезной угрозой признана уязвимость CVE-2025-61884 с рейтингом CVSS 7,5. Проблема связана с возможностью подделки серверных запросов в модуле Oracle Configurator, что создает риск несанкционированного доступа к конфиденциальным данным. Специалисты CISA подчеркивают, что эксплуатация уязвимости возможна без необходимости аутентификации.

Примечательно, что это уже вторая брешь в Oracle EBS, активно используемая злоумышленниками. Ранее была обнаружена критическая уязвимость CVE-2025-61882 (CVSS 9,8), позволяющая выполнять произвольный код без авторизации. По данным экспертов Google и Mandiant, множество организаций могли стать жертвами атак с использованием этой уязвимости.

В список также вошли четыре дополнительных уязвимости:

-CVE-2025-33073 (CVSS 8,8) — проблема в SMB-клиенте Windows, ведущая к повышению привилегий (исправление выпущено Microsoft в июне 2025)
-CVE-2025-2746 и CVE-2025-2747 (обе CVSS 9,8) — уязвимости в системе Kentico Xperience CMS, позволяющие обходить аутентификацию
-CVE-2022-48503 (CVSS 8,8) — проблема в компоненте JavaScriptCore от Apple, потенциально ведущая к выполнению произвольного кода

Хотя информация о конкретных случаях эксплуатации последних четырех уязвимостей пока ограничена, данные о CVE-2025-33073, CVE-2025-2746 и CVE-2025-2747 были предоставлены исследователями из Synacktiv и watchTowr Labs.

Федеральным агентствам предписан срок до 10 ноября 2025 года для устранения выявленных уязвимостей с целью обеспечения безопасности своих информационных систем.