Vulnerabilidad crítica en Oracle Identity Manager (CVE-2025-61757)

Se ha identificado una vulnerabilidad crítica en Oracle Identity Manager (parte de Oracle Fusion Middleware), la cual permite a atacantes remotos sin autenticación ejecutar código arbitrario en sistemas afectados (versiones 12.2.1.4.0 y 14.1.2.1.0).

• Identificador: CVE-2025-61757
• Gravedad: CVSS 3.1 = 9.8 (movida de red, sin privilegios, sin interacción de usuario)
• Impacto: confidencialidad, integridad y disponibilidad – posibilidad de control total del sistema afectado
• Explotación: ya detectada en entornos reales, por lo que es urgente aplicar el parche o mitigar de inmediato

Recomendaciones urgentes:

1. Verificar si dispone de Oracle Identity Manager en las versiones señaladas y si está accesible desde red.
2. Aplicar inmediatamente el parche publicado por Oracle en su boletín Octubre 2025.
3. Como medida temporal, restringir el acceso desde red al servicio, segmentar y monitorizar actividad inusual.
4. Revisar los logs de acceso, ejecución de Groovy / scripts sospechosos, y comprobar la integridad del sistema.