Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Hai đã thêm năm lỗ hổng bảo mật vào Danh mục các Lỗ hổng Đã bị Khai thác (KEV) của mình, chính thức xác nhận một lỗ hổng mới được tiết lộ ảnh hưởng đến Oracle E-Business Suite (EBS) đã bị vũ khí hóa trong các cuộc tấn công thực tế.
Lỗ hổng bảo mật được đề cập là CVE-2025-61884 (điểm CVSS: 7.5), được mô tả là một lỗ hổng server-side request forgery (SSRF) trong thành phần Runtime của Oracle Configurator có thể cho phép kẻ tấn công truy cập trái phép vào dữ liệu quan trọng.
"Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực," CISA cho biết.
CVE-2025-61884 là lỗ hổng thứ hai trong Oracle EBS bị khai thác tích cực, cùng với CVE-2025-61882 (điểm CVSS: 9.8), một lỗi nghiêm trọng có thể cho phép kẻ tấn công không được xác thực thực thi mã tùy ý trên các phiên bản dễ bị tổn thương.
Đầu tháng này, Google Threat Intelligence Group (GTIG) và Mandiant đã tiết lộ hàng chục tổ chức có thể đã bị ảnh hưởng sau khi CVE-2025-61882 bị khai thác.
"Tại thời điểm này, chúng tôi chưa thể quy kết bất kỳ hoạt động khai thác cụ thể nào cho một tác nhân cụ thể, nhưng có khả năng ít nhất một số hoạt động khai thác mà chúng tôi quan sát được đã được thực hiện bởi các tác nhân hiện đang thực hiện các hoạt động tống tiền mang thương hiệu Cl0p," Zander Work, kỹ sư bảo mật cấp cao tại GTIG, nói với The Hacker News vào tuần trước.
Bốn lỗ hổng khác được CISA thêm vào Danh mục KEV
- CVE-2025-33073 (điểm CVSS: 8.8) - Một lỗ hổng kiểm soát truy cập không đúng cách trong Microsoft Windows SMB Client có thể cho phép leo thang đặc quyền (đã được Microsoft vá vào tháng 6 năm 2025)
- CVE-2025-2746 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực bằng cách sử dụng đường dẫn hoặc kênh thay thế trong Kentico Xperience CMS có thể cho phép kẻ tấn công kiểm soát các đối tượng quản trị bằng cách lợi dụng cách xử lý mật khẩu Staging Sync Server của tên người dùng SHA1 trống trong xác thực digest (đã được Kentico vá vào tháng 3 năm 2025)
- CVE-2025-2747 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực bằng cách sử dụng đường dẫn hoặc kênh thay thế trong Kentico Xperience CMS có thể cho phép kẻ tấn công kiểm soát các đối tượng quản trị bằng cách lợi dụng cách xử lý mật khẩu Staging Sync Server cho loại máy chủ None được định nghĩa (đã được Kentico vá vào tháng 3 năm 2025)
- CVE-2022-48503 (điểm CVSS: 8.8) - Một lỗ hổng xác thực chỉ số mảng không đúng cách trong thành phần JavaScriptCore của Apple có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web (đã được Apple vá vào tháng 7 năm 2022)
Hiện tại, chưa có thông tin chi tiết về cách bốn vấn đề nói trên đang bị khai thác trong thực tế, mặc dù chi tiết về CVE-2025-33073, CVE-2025-2746 và CVE-2025-2747 đã được chia sẻ bởi các nhà nghiên cứu từ Synacktiv và watchTowr Labs.
Các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu khắc phục các lỗ hổng đã xác định trước ngày 10 tháng 11 năm 2025, để bảo vệ mạng của họ khỏi các mối đe dọa đang hoạt động.
