Федеральные агентства США должны исправить критическую ошибку Oracle Identity Manager к 12 декабря после того, как она была обнаружена в активной эксплуатации. U.S. federal agencies must patch a critical Oracle Identity Manager flaw by Dec. 12 after it was found actively exploited.

CISA приказала федеральным агентствам США подготовить к 12 декабря критическую, активно используемую уязвимость менеджера по идентификации Oracle (CVE-2025-61757) и добавить ее в свой каталог известных эксплуантов. CISA has ordered U.S. federal agencies to patch a critical, actively exploited vulnerability in Oracle Identity Manager (CVE-2025-61757) by December 12, adding it to its Known Exploited Vulnerabilities catalog. Недостаток, который допускает неподтвержденную дистанционную реализацию кода посредством одного запроса HTTP, был подтвержден активной атакой еще в августе, когда исследователи назвали эксплуатацию "тривиальной". The flaw, which allows unauthenticated remote code execution via a single HTTP request, was confirmed to be under active attack as early as August, with researchers calling the exploit "trivial." Oracle выпустила исправление 21 октября, но не раскрыла доказательств эксплуатации в то время. Oracle issued a fix on October 21, but did not disclose evidence of exploitation at the time. Уязвимость влияет на конкретные версии Middleware Oracle Fusion и создает серьезный риск из-за его высокой оценки CVSS в 9,8. The vulnerability affects specific versions of Oracle Fusion Middleware and poses a severe risk due to its high CVSS score of 9.8. CISA призывает агентства применять обновление от 21 октября или изолировать пострадавшие системы от общественных сетей. CISA urges agencies to apply the October 21 patch or isolate affected systems from public networks.