Критическая уязвимость в компоненте Marketing Administration маркетинговой платформы Oracle Marketing позволяет злоумышленникам полностью контролировать систему без необходимости аутентификации. Об этом свидетельствуют данные из реестра уязвимостей BDU:2025-14330, опубликованные 21 октября 2025 года. Уязвимость получила идентификатор CVE-2025-53072 и оценку 9.8 по шкале CVSS 3.1, что соответствует критическому уровню опасности.
Детали уязвимости
Архитектурная проблема связана с отсутствием проверки подлинности для критически важной функции. Следовательно, удаленный злоумышленник может напрямую обращаться к защищенным операциям без предоставления учетных данных. Более того, это позволяет нарушить конфиденциальность, целостность и доступность маркетинговых данных.
Подверженными оказались все версии Oracle Marketing от 12.2.3 до 12.2.14 включительно. При этом эксплойт для эксплуатации уязвимости уже доступен в открытом доступе на GitHub. Соответственно, организации, использующие уязвимые версии, находятся под непосредственной угрозой атак.
По классификации MITRE ATT&CK, данная уязвимость относится к тактике первоначального доступа. В частности, злоумышленники могут обходить механизмы аутентификации для получения несанкционированного доступа. Затем они потенциально способны устанавливать вредоносное ПО (malicious software) или шифровальщики (ransomware).
Критичность уязвимости подтверждается максимальными оценками по всем метрикам CVSS. Например, по версии 3.1 она имеет показатели Confidentiality: High, Integrity: High и Availability: High. Таким образом, успешная эксплуатация приводит к полному компромиссу системы.
Важно отметить, что Oracle подтвердила уязвимость и выпустила необходимые исправления. Специалисты по кибербезопасности рекомендуют немедленно обновиться до защищенной версии. Соответственно, информация о патчах доступна в октябрьском бюллетене безопасности компании.
При этом исследователи уже проанализировали публичный эксплойт. Например, он демонстрирует возможность выполнения произвольных команд через уязвимый компонент. Следовательно, злоумышленники могут загружать вредоносную нагрузку (payload), устанавливать постоянное присутствие (persistence) и перемещаться по сетевой инфраструктуре.
Системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) должны быть настроены на мониторинг подозрительной активности, связанной с Oracle Marketing. Кроме того, командам безопасности (SOC) следует обращать внимание на необычные запросы к административным интерфейсам маркетинговой платформы.
Данный инцидент подчеркивает важность регулярного обновления бизнес-приложений. Однако многие организации откладывают установку патчей из-за риска нарушения бизнес-процессов. Тем не менее, в данном случае промедление может привести к катастрофическим последствиям.
Эксперты также отмечают растущую тенденцию атак на маркетинговые системы. Действительно, эти платформы часто содержат ценные данные клиентов и бизнес-стратегии. Соответственно, они становятся привлекательной целью для киберпреступников и APT-групп (Advanced Persistent Threat).
Для временной защиты рекомендуется ограничить сетевой доступ к административным интерфейсам Oracle Marketing. Кроме того, следует реализовать строгий контроль доступа на уровне сети. Однако эти меры не заменяют необходимость установки официального исправления.
В долгосрочной перспективе компаниям необходимо пересмотреть процессы управления уязвимостями. В частности, следует внедрить регулярное сканирование на наличие уязвимостей и автоматизировать установку обновлений безопасности. При этом особое внимание стоит уделять бизнес-критичным приложениям.
Уязвимость CVE-2025-53072 уже внесена в базы данных киберугроз. Соответственно, организации могут отслеживать связанные с ней индикаторы компрометации. Более того, рекомендуется проверить логи на предмет ранее необнаруженных атак.
Данный случай демонстрирует, насколько опасными могут быть архитектурные недостатки в корпоративных приложениях. Несмотря на это, своевременное обновление остается наиболее эффективным способом защиты. Следовательно, ответственные за информационную безопасность должны приоритизировать установку октябрьских патчей от Oracle.
В заключение стоит отметить, что производитель оперативно отреагировал на обнаруженную проблему. Однако конечная ответственность за защиту систем лежит на организациях-пользователях. Поэтому необходимо немедленно принять меры для предотвращения потенциальных инцидентов безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-14330
- https://www.cve.org/CVERecord?id=CVE-2025-53072
- https://www.oracle.com/security-alerts/cpuoct2025.html
- https://github.com/B1ack4sh/Blackash-CVE-2025-53072
