U.S. federal agencies must patch a critical Oracle Identity Manager flaw by Dec. 12 after it was found actively exploited. Las agencias federales de EE.UU. deben parchear un fallo crítico de Oracle Identity Manager para el 12 de diciembre después de que se encontró explotado activamente.

CISA has ordered U.S. federal agencies to patch a critical, actively exploited vulnerability in Oracle Identity Manager (CVE-2025-61757) by December 12, adding it to its Known Exploited Vulnerabilities catalog. CISA ha ordenado a las agencias federales de los Estados Unidos que parchen una vulnerabilidad crítica y explotada activamente en Oracle Identity Manager (CVE-2025-61757) antes del 12 de diciembre, agregándola a su catálogo de vulnerabilidades explotadas conocidas. The flaw, which allows unauthenticated remote code execution via a single HTTP request, was confirmed to be under active attack as early as August, with researchers calling the exploit "trivial." La falla, que permite la ejecución remota de código no autenticado a través de una sola solicitud HTTP, se confirmó que estaba bajo ataque activo ya en agosto, y los investigadores calificaron el exploit de "trivial". Oracle issued a fix on October 21, but did not disclose evidence of exploitation at the time. Oracle emitió una corrección el 21 de octubre, pero no divulgó evidencia de explotación en ese momento. The vulnerability affects specific versions of Oracle Fusion Middleware and poses a severe risk due to its high CVSS score of 9.8. La vulnerabilidad afecta a versiones específicas de Oracle Fusion Middleware y representa un riesgo grave debido a su alta puntuación CVSS de 9.8. CISA urges agencies to apply the October 21 patch or isolate affected systems from public networks. CISA insta a las agencias a aplicar el parche del 21 de octubre o aislar los sistemas afectados de las redes públicas.