- شناسه CVE-2025-50060 :CVE
- CWE-284 :CWE
- yes :Advisory
- منتشر شده: جولای 15, 2025
- به روز شده: جولای 15, 2025
- امتیاز: 8.1
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: وبسرورها
- برند: Oracle Corporation
- محصول: Oracle BI Publisher
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری کنترل دسترسی نادرست در کامپوننت Web Server محصول Oracle BI Publisher در نسخههای 7.6.0.0.0، 8.2.0.0.0، و 12.2.1.4.0 شناسایی شده است. این ضعف امنیتی به مهاجمان با دسترسی سطح پایین و از طریق شبکه (HTTP) اجازه میدهد به دادههای حساس دسترسی غیرمجاز پیدا کرده یا آنها را ایجاد، حذف یا اصلاح کنند.
توضیحات
آسیبپذیری CVE-2025-50060 از نوع کنترل دسترسی نادرست (مطابق با CWE-284) است که در کامپوننت Web Server محصول Oracle BI Publisher رخ میدهد. این آسیب پذیری به شرایطی اشاره دارد که سیستم بهطور نادرست دسترسی به منابع را محدود نکرده و امکان دسترسی یا دستکاری غیرمجاز را برای کاربران فراهم میکند. در این آسیبپذیری، کاربران احراز هویتشده با دسترسی پایین میتوانند از طریق HTTP به دادههای حساس دسترسی پیدا کرده یا تغییراتی مانند ایجاد، حذف یا اصلاح دادههای حیاتی یا تمام دادههای قابل دسترس Oracle BI Publisher را اعمال کنند. بهرهبرداری از این ضعف نیازمند تعامل کاربر نیست و پیچیدگی پایینی دارد.
پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی و یکپارچگی دادهها است. Oracle این آسیبپذیری را در بهروزرسانی بحرانی جولای 2025 برطرف کرده و کاربران باید پچهای مرتبط را طبق مستندات Oracle اعمال کنند تا از سوءاستفاده جلوگیری شود.
CVSS
| Score | Severity | Version | Vector String |
| 8.1 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 7.6.0.0.0
affected at 8.2.0.0.0 affected at 12.2.1.4.0 |
Oracle BI Publisher |
لیست محصولات بروز شده
| Versions | Product |
| Patched in July 2025 Critical Patch Update | Oracle BI Publisher |
نتیجه گیری
با توجه به شدت بالای آسیبپذیری CVE-2025-50060 و امکان دسترسی یا تغییر غیرمجاز دادههای حساس توسط کاربران با سطح دسترسی پایین، بهکارگیری فوری وصلههای امنیتی ارائهشده در Oracle Critical Patch Update جولای 2025 برای تمامی نسخههای آسیبپذیر Oracle BI Publisher ضروری است. سازمانها باید اطمینان حاصل کنند که تمامی سرورها و نمونههای BI Publisher به آخرین نسخه بهروزرسانی شدهاند و سیاستهای کنترل دسترسی بر مبنای اصل حداقل دسترسی بهطور کامل بازبینی و اعمال شده است. علاوه بر این، مانیتورینگ مداوم لاگهای دسترسی و تغییرات، پایش ترافیک HTTP برای شناسایی درخواستهای غیرمعمول و استفاده از مکانیزمهای تشخیص و جلوگیری از نفوذ (IDS/IPS) بهمنظور شناسایی اکسپلویتهای احتمالی ضروری است. تهیه نسخههای پشتیبان منظم از دادههای حیاتی و تست فرآیند بازیابی نیز بهعنوان بخشی از راهبرد تابآوری (Resilience) باید در دستور کار قرار گیرد. همچنین جداسازی لایههای شبکهای و محدودسازی سطح حمله میتواند ریسک بهرهبرداری موفق از این ضعف را به حداقل برساند. اجرای یکپارچه این اقدامات ضمن افزایش سطح امنیت، محرمانگی و یکپارچگی دادهها را در محیط Oracle BI Publisher تضمین خواهد کرد.
امکان استفاده در Mitre Attack
- Initial Access (TA0001)
T1078 – Valid Accounts
مهاجم میتواند با استفاده از حسابهای کاربری سطح پایین (Low-Privileged Accounts) وارد سیستم شود و از ضعف کنترل دسترسی سوءاستفاده کند.
- Collection (TA0009)
T1530 – Data from Cloud Storage
T1005 – Data from Local System
مهاجم میتواند دادههای حساس BI Publisher را جمعآوری کند.
- Impact (TA0040)
T1565 – Data Manipulation
امکان ایجاد، حذف یا تغییر دادهها توسط مهاجم فراهم میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-50060
- https://www.cvedetails.com/cve/CVE-2025-50060/
- https://www.oracle.com/security-alerts/cpujul2025.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50060
- https://vuldb.com/?id.316480
- https://nvd.nist.gov/vuln/detail/CVE-2025-50060
- https://cwe.mitre.org/data/definitions/284.html
