基本信息
漏洞名称: Oracle Scripting iSurvey模块远程代码执行漏洞
CVE编号: CVE-2025-30727
危险等级: 严重
影响组件: Oracle Scripting iSurvey模块
验证状态: 已验证
修复状态: 官方已发布修复补丁
漏洞详情
Oracle Scripting是Oracle E-Business Suite中的一个重要组件,用于创建和管理在线调查、表单及动态脚本。攻击者可利用该漏洞通过网络向目标系统发送恶意请求,在无需权限和用户交互的情况下,远程执行任意代码。由于该模块用于客户调查、反馈收集和合规性评估,其用户基础广泛,因此漏洞的潜在影响较大。
影响范围
影响版本
12.2.3 ≤ Oracle E-Business Suite ≤ 12.2.14
受影响的场景
- 客户调查与反馈收集
- 合规性评估
- 业务流程自动化中的动态脚本处理
修复方案
方案一:版本升级 (推荐)
Oracle官方已发布安全补丁,建议受影响用户尽快更新至最新版本以消除风险。安全补丁详情及下载链接如下:
https://www.oracle.com/security-alerts/cpuapr2025.html
方案二:临时措施
目前暂无官方临时措施,建议及时升级并采取以下通用安全措施。
通用建议
- 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
- 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务。
- 减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
- 使用企业级安全产品,提升企业网络安全性能。
- 加强系统用户和权限管理,启用多因素认证机制和最小权限原则。
- 启用强密码策略并设置为定期修改。