Vulnerabilidade crítica en Oracle Identity Manager (CVE-2025-61757)

Detectouse unha vulnerabilidade crítica en Oracle Identity Manager (parte de Oracle Fusion Middleware) que permite a atacantes remotos sen autenticación executar código arbitrario en sistemas afectados (versións 12.2.1.4.0 e 14.1.2.1.0).

• Identificador: CVE-2025-61757
• Gravidade: CVSS 3.1 = 9,8 (acceso desde rede, sen privilexios, sen interacción de usuario)
• Impacto: confidencialidade, integridade e dispoñibilidade – risco de toma de control completo do sistema afectado
• Explotación: detectouse xa en contornas reais, polo que é urxente aplicar o parche ou adoptar mitigacións inmediatas

Recomendacións urxentes:

1. Verificar se ten instalado Oracle Identity Manager nas versións indicadas e se está accesible desde rede.
2. Aplicar inmediatamente o parche de Oracle correspondente ao boletín de Outubro 2025.
3. Como medida temporal, restrinxir o acceso desde rede ao servizo, segmentar e monitorizar actividade inusual.
4. Revisar os rexistros de acceso, execución de Groovy/scripts sospeitosos, e comprobar a integridade do sistema.