CVE-2025-61882

Risque lié à l’exposition d’Oracle EBS à Internet

L’exposition directe d’Oracle E-Business Suite (EBS) à Internet est déconseillée, même en cas d’utilisation de solutions de protection comme Oracle WAF. La documentation officielle d’Oracle préconise une approche plus sécurisée où EBS ne doit pas être directement accessible depuis le web. L’accès à l’instance doit se faire via un bastion hôte. Cette recommandation contredit certains articles d’Oracle décrivant des déploiements exposés à Internet. Le National Cyber Security Centre (NCSC) du Royaume-Uni a également, par erreur, renvoyé vers des articles moins sécurisés plutôt que vers la documentation officielle de déploiement.

Points clés :

• Oracle EBS ne devrait pas être directement exposé à Internet en raison de la nature sensible des données qu’il contient.
• L’utilisation de Oracle WAF pour protéger une instance EBS exposée n’est pas une pratique recommandée.
• La documentation officielle d’Oracle préconise l’utilisation d’un bastion hôte pour accéder à EBS si une exposition est nécessaire, mais déconseille une exposition directe.

Vulnérabilités :

• CVE-2025-61882 : Bien que mentionnée, la nature spécifique de cette vulnérabilité dans le contexte de l’article est son exploitation potentielle si EBS est exposé à Internet, sans détails techniques spécifiques sur la CVE elle-même.

Recommandations :

• Ne pas exposer Oracle EBS directement à Internet.
• Utiliser un bastion hôte pour accéder aux instances d’Oracle EBS.

Source