Een nieuwe kwetsbaarheid in Oracle E-Business Suite, waarvoor Oracle afgelopen weekend een noodpatch uitbracht, is actief bij aanvallen misbruikt. Iets wat Oracle niet in het beveiligingsbulletin laat weten, zo meldt Bleeping Computer op basis van niet nader genoemde onderzoekers. Daarnaast zou Oracle informatie over actief misbruik van het lek, aangeduid als CVE-2025-61884, bij de verkeerde kwetsbaarheid hebben vermeld.

Oracle E-Business Suite is software voor Enterprise Resource Planning (ERP) en kan allerlei vertrouwelijke gegevens van organisaties en hun klanten bevatten. Onlangs bleek dat aanvallers verschillende kwetsbaarheden in Oracle E-Business Suite hebben gebruikt om vertrouwelijke gegevens van allerlei organisaties te stelen, die daar vervolgens mee werden afgeperst. Als de organisaties geen losgeld betalen dreigen de aanvallers de gestolen data openbaar te maken. Volgens Google zouden meer dan honderd bedrijven zijn getroffen.

CVE-2025-61884 is een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige gegevens kan krijgen. In het beveiligingsbulletin wordt echter nergens melding van actief misbruik gemaakt. Eerder deze maand kwam Oracle met een noodpatch voor een andere kwetsbaarheid in EBS, aangeduid als CVE-2025-61882. Bij dit beveiligingslek werden ook Indicators of Compromise gegeven, waarmee organisaties kunnen controleren of hun EBS-server is gecompromitteerd.

Bleeping Computer stelt dat één van de indicatoren betrekking heeft op CVE-2025-61884. De website vroeg Oracle om opheldering over het niet vermelden van het actieve misbruik in het bulletin, maar kreeg naar eigen zeggen geen reactie.