La vulnerabilidad CVE-2025-61757, ya corregida por Oracle, permite ejecución remota de código sin autenticación y fue incorporada al catálogo KEV de CISA tras reportes de actividad maliciosa.
La vulnerabilidad crítica en Oracle Identity Manager, identificada como CVE-2025-61757, continúa generando preocupación a nivel internacional después de que la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) confirmara que está siendo explotada y exigiera a las agencias federales aplicar parches antes del 12 de diciembre. El fallo, descrito como una debilidad de ejecución remota de código previa a la autenticación, afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0 del producto y se origina en un bypass de autenticación en los endpoints REST.
Los investigadores que descubrieron el problema revelaron que ciertas rutas sensibles del sistema podían ser tratadas como públicas simplemente añadiendo parámetros como ?WSDL o ;.wadl al final de las URL. Ese desvío permitía a un atacante llegar a un punto de compilación de Groovy, el cual, aunque no ejecuta scripts por defecto, puede ser abusado para correr código malicioso durante la etapa de compilación gracias a las capacidades de procesamiento de anotaciones.
Oracle corrigió la falla el pasado 21 de octubre, como parte de su actualización de seguridad mensual. Sin embargo, la publicación del informe técnico de Searchlight —incluyendo detalles completos del método de explotación— incrementó la tensión en la industria. Los investigadores señalaron que, en comparación con vulnerabilidades previas de Oracle Access Manager, esta “es relativamente trivial y fácilmente explotable por actores maliciosos”.
La gravedad también fue destacada por la agencia de ciberseguridad e infraestructuras de los Estados Unidos (CISA), que la agrego a su catálogo de vulnerabilidades explotadas conocidas (KEV). Debida a esta combinación de facilidad de explotación y acceso sin credenciales, el fallo recibió una puntuación CVSS de 9.8 y se considera especialmente atractivo para operadores de ransomware y grupos APT con respaldo estatal.
La vulnerabilidad fue identificada tras una investigación relacionada con un incidente previo en Oracle Cloud, donde se había explotado una falla antigua, CVE-2021-35587, para comprometer seis millones de registros y más de 140 mil inquilinos.